Gros problème de rootkits search d'Antivir ! Résolu

Question

Bonjour, 

voilà je suis un utilisateur d'antivir et le problème c'est que quand je fais un rootkit search il s'arrête toujours à environ 68%.

J'ai 3 screenshoots pour que vous puissez mieux comprendre ce qu'il se passe :

 la recherche de rootkits se fait normalement, quand soudain il s'arrête sur une clé du système :
--> https://imageshack.com/

Ensuite antivir me demande ceci (P.S : la la clé n'est plus affichée mais c'est avcenter.exe, toujours vers 68%) :
---> https://www.hiboox.fr/

Comme je ne veux pas faire un scan mais juste un rootkit search, ben le scan passe directement de 68% a 100%: --> http://www.zimagez.com/zimage/rootkitssuspect3.php

Voilà merci de maider !! =) (P.S : Je pense que le screen le plus intéressant a analyser est le premier (avec la clé)

ant984 · Answer

Personne ne peut m'aider?

ant984 · Answer

Svp les helpers je sais bien que vous avez une vie mais j'aurais besoin juste de l'un d'entre vous quoi :P.

D'ailleurs j'ai trouvé un forum ou deux personne parlent a propos de cette clé,mais le pb c'est que c'est en anglais.... voilà le lien : https://forum.sysinternals.com/?TID=12445

Merci d'avance !

ant984 · Answer

ça me désole mais up !

ant984 · Answer

Aidez-moi svp ;)

ant984 · Answer

Toujours aucun helper pour venir à mon secours? :''(

ant984 · Answer

Bon aller je vais re up comme sur quasiment tout mes sujets -______-

C'est pas parce que vous voyez 6 réponses que quelqu'un m'aide !!!!

benurrr · Answer

Bonjourrr;
poste un rapport hijackthis (outil de diagnostic)
Télécharge http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

--) Enregistre HJTInstall.exe sur ton bureau
--) Double-clique sur HJTInstall.exe pour lancer le programme
--) Par défaut, il s'installera içi C:\Programme Files\Trend Micro\HijackThis
--) Accepte la license en cliquant sur le bouton "I Accept"
--) Choisis l'option "Do a system scan and save a log file"
--) Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
--) Clique sur "Édition -> Sélectionner tout", puis sur "Édition -> Copier" pour copier tout le contenu du rapport
--) Colle le rapport que tu viens de copier sur ce forum
--) Ne fixe encore AUCUNE ligne,

ant984 · Answer

Ah enfin, merci à toi ;)

Bon ben bonjour :) , voici le rapport : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:35:50, on 07/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1502738683-13172858-2073024115-1008\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'Odile')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE

benurrr · Answer

RE

Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
TUTO :: http://www.malekal.com/Adware.Magic_Control.php

ant984 · Answer

Coucou, voici le rapport : 

Search Navipromo version 3.7.6 commencé le 07/05/2009 à 17:15:23,92

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3400+ )
BIOS : Phoenix - Award BIOS v6.00PG
USER : Antoine ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)


C:\ (Local Disk) - NTFS - Total:128 Go (Free:94 Go)
D:\ (Local Disk) - FAT32 - Total:6 Go (Free:1 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB)


Recherche executé en mode normal


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Antoine\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\HP_ADM~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Antoine\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\HP_ADM~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Antoine\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\HP_ADM~1\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Antoine\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\HP_ADM~1\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Antoine\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\HP_ADM~1\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 07/05/2009 à 17:23:49,78 ***

benurrr · Answer

comme tu voit gmer qui est integrer a navilog ne montre aucun rootkit

par précaution passe combofix mais suis bien les instruction car c'est un outil extrêmement puissant


Telecharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe. 
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

Avant d'utiliser ComboFix : 

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

-Attention  Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi 

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet) 

::Si combofix detecte quelque chose et de demande a redemarer tu accepte

ant984 · Answer

Re !! :)  
voici le rapport Combofix, rien d'alarmant selon moi, mais je n'ai que des connaissances très sommaires :
ComboFix 09-05-07.01 - Antoine 07/05/2009 19:38.1 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2558.1975 [GMT 2:00]
Lancé depuis: c:\documents and settings\Antoine\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Autorun.inf

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-04-07 au 2009-05-07  ))))))))))))))))))))))))))))))))))))
.

2009-05-07 15:08 . 2009-05-07 15:23	--------	d-----w	c:\program files\Navilog1
2009-05-03 13:52 . 2008-09-02 13:49	253952	----a-w	c:\windows\system32\JkDefragScreenSaver.exe
2009-05-03 13:52 . 2008-09-02 13:49	106496	----a-w	c:\windows\system32\JkDefragScreenSaver.scr
2009-05-03 13:52 . 2009-05-03 18:34	--------	d-----w	c:\program files\JkDefrag
2009-05-01 23:01 . 2009-05-01 23:02	--------	d-----w	c:\program files\SystemRequirementsLab
2009-05-01 23:01 . 2009-05-01 23:01	--------	d-----w	c:\documents and settings\Antoine\Application Data\SystemRequirementsLab
2009-04-30 11:20 . 2009-04-30 11:20	--------	d-----w	c:\windows\system32\Adobe
2009-04-28 16:52 . 2009-04-28 16:52	--------	d-----w	c:\documents and settings\LocalService\Menu Démarrer
2009-04-28 16:52 . 2009-04-28 16:58	55640	----a-w	c:\windows\system32\drivers\avgntflt.sys
2009-04-28 16:52 . 2009-04-28 16:52	--------	d-----w	c:\program files\Avira
2009-04-28 16:52 . 2009-04-28 16:52	--------	d-----w	c:\documents and settings\All Users\Application Data\Avira
2009-04-25 21:55 . 2009-04-26 20:40	--------	d-----w	c:\documents and settings\Antoine\.housecall6.6
2009-04-25 14:55 . 2009-04-25 14:55	--------	d-----w	c:\program files\Trend Micro
2009-04-20 11:13 . 2009-05-05 20:30	--------	d---a-w	c:\documents and settings\All Users\Application Data\TEMP
2009-04-20 11:13 . 2005-08-25 17:18	118784	----a-w	c:\windows\system32\MSSTDFMT.DLL
2009-04-20 11:13 . 2009-05-05 18:08	--------	d-----w	c:\program files\SpywareBlaster
2009-04-16 19:47 . 2009-04-16 19:47	357140	----a-w	c:\windows\Revolution Script CZ Uninstaller.exe
2009-04-16 17:30 . 2009-05-07 15:15	--------	d-----w	c:\program files\Steam
2009-04-16 07:57 . 2009-02-06 10:10	227840	------w	c:\windows\system32\dllcache\wmiprvse.exe
2009-04-16 07:57 . 2009-03-06 14:20	286720	------w	c:\windows\system32\dllcache\pdh.dll
2009-04-16 07:57 . 2009-02-09 11:23	111104	------w	c:\windows\system32\dllcache\services.exe
2009-04-16 07:57 . 2009-02-09 10:53	401408	------w	c:\windows\system32\dllcachepcss.dll
2009-04-16 07:57 . 2009-02-09 10:53	473600	------w	c:\windows\system32\dllcache\fastprox.dll
2009-04-16 07:57 . 2009-02-09 10:53	685568	------w	c:\windows\system32\dllcache\advapi32.dll
2009-04-16 07:57 . 2009-02-09 10:53	735744	------w	c:\windows\system32\dllcache\lsasrv.dll
2009-04-16 07:57 . 2009-02-09 10:53	453120	------w	c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-16 07:57 . 2009-02-09 10:53	739840	------w	c:\windows\system32\dllcache
tdll.dll
2009-04-16 07:57 . 2008-12-16 12:31	354304	------w	c:\windows\system32\dllcache\winhttp.dll
2009-04-16 07:57 . 2008-04-21 21:15	219136	------w	c:\windows\system32\dllcache\wordpad.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-07 10:26 . 2006-04-02 14:01	--------	d-----w	c:\program files\Mozilla Thunderbird
2009-04-26 20:45 . 2007-03-01 23:34	--------	d-----w	c:\program files\Fichiers communs\Adobe
2009-04-16 14:49 . 2005-10-10 19:39	73700	----a-w	c:\windows\system32\perfc00C.dat
2009-04-16 14:49 . 2005-10-10 19:39	466894	----a-w	c:\windows\system32\perfh00C.dat
2009-04-12 21:40 . 2008-03-20 21:12	--------	d-----w	c:\program files\dBpowerAMP
2009-04-10 18:09 . 2008-10-11 09:12	--------	d-----w	c:\program files\Malwarebytes' Anti-Malware
2009-04-06 13:32 . 2008-10-11 09:12	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2008-10-11 09:12	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-03-27 06:14 . 2009-03-08 13:32	453152	----a-w	c:\windows\system32
vuninst.exe
2009-03-09 20:47 . 2006-04-09 09:26	445432	----a-w	c:\documents and settings\Antoine\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-03-09 18:28 . 2006-01-02 15:57	--------	d--h--w	c:\program files\InstallShield Installation Information
2009-03-06 14:20 . 2004-08-10 19:00	286720	----a-w	c:\windows\system32\pdh.dll
2009-03-03 00:13 . 2004-08-10 19:00	826368	----a-w	c:\windows\system32\wininet.dll
2009-02-20 17:10 . 2004-08-10 19:00	78336	----a-w	c:\windows\system32\ieencode.dll
2009-02-10 17:06 . 2004-08-10 19:00	2068096	----a-w	c:\windows\system32
tkrnlpa.exe
2009-02-09 14:05 . 2004-08-10 19:00	1846912	----a-w	c:\windows\system32\win32k.sys
2009-02-09 11:24 . 2004-08-10 19:00	2191104	----a-w	c:\windows\system32
toskrnl.exe
2009-02-09 11:23 . 2004-08-10 19:00	111104	----a-w	c:\windows\system32\services.exe
2009-02-09 10:53 . 2004-08-10 19:00	735744	----a-w	c:\windows\system32\lsasrv.dll
2009-02-09 10:53 . 2004-08-10 19:00	739840	----a-w	c:\windows\system32
tdll.dll
2009-02-09 10:53 . 2004-08-10 19:00	685568	----a-w	c:\windows\system32\advapi32.dll
2009-02-09 10:53 . 2004-08-10 19:00	401408	----a-w	c:\windows\system32pcss.dll
2007-03-17 15:28 . 2007-03-17 15:28	251	-c--a-w	c:\program files\wt3d.ini
2006-05-06 16:42 . 2006-05-20 16:10	7260160	----a-w	c:\program files\mozilla firefox\plugins\libvlc.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13684736]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 86016]
"nwiz"="nwiz.exe" - c:\windows\system32
wiz.exe [2009-03-27 1657376]
"ftutil2"="ftutil2.dll" - c:\windows\system32\ftutil2.dll [2004-06-07 106496]
"AlwaysReady Power Message APP"="ARPWRMSG.EXE" - c:\windows\arpwrmsg.exe [2005-08-03 77312]
"AlcxMonitor"="ALCXMNTR.EXE" - c:\windows\ALCXMNTR.EXE [2004-09-07 57344]

c:\documents and settings\Invit‚\Menu D‚marrer\Programmes\D‚marrage\
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-1-2 27136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\MsgPlusLoader.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"mnmsrvc"=3 (0x3)
"IDriverT"=3 (0x3)
"ARSVC"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"=
"c:\Program Files\HP\HP Software Update\HPWUCli.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Microsoft Games\Age of Empires II\EMPIRES2.ICD"=
"c:\Program Files\Microsoft Games\Age of Empires II\age2_x1\AGE2_X1.ICD"=
"c:\Program Files\Warcraft III\Warcraft III.exe"=
"c:\Program Files\Warcraft III\War3.exe"=
"c:\Games\Half-Life\hl.exe"=
"c:\Program Files\VideoLAN\VLC\vlc.exe"=
"c:\Program Files\Sierra On-Line\SIGSPat.exe"=
"c:\SIERRA\Half-Life\hl.exe"=
"c:\Program Files\Steam\steamapps\ant984\condition zero\hl.exe"=
"c:\Program Files\Steam\steamapps\ant984\counter-strike\hl.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Steam\steam.exe"=
"c:\Program Files\Call of Duty Game of the Year Edition\CoDMP.exe"=
"c:\Program Files\Acclaim Entertainment\Re-Volt\revolt.exe"=
"c:\Program Files\Microsoft Games\Halo\halo.exe"=
"c:\Program Files\EA GAMES\Battlefield 1942\BF1942.exe"=
"c:\Games\CAVEDOG\TOTALA\totala.exe"=
"c:\WINDOWS\system32\dplaysvr.exe"=
"c:\Program Files\MSN Messenger\msnmsgr.exe"=
"c:\Program Files\MSN Messenger\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:Blizzard Downloader
"2303:UDP"= 2303:UDP:Halo
"2302:UDP"= 2302:UDP:Halo
"3724:TCP"= 3724:TCP:Blizzard Downloader
"3724:UDP"= 3724:UDP:Blizzard Downloader

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [28/04/2009 18:52 108289]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [02/01/2006 17:56 2799488]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-PCDrProfiler - (no file)


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.fr/
FF - ProfilePath - c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\83yj7rzr.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr-FR:official
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pvlc.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-07 19:39
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(604)
c:\windows\system32\MsgPlusLoader.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(664)
c:\windows\system32\MsgPlusLoader.dll
.
Heure de fin: 2009-05-07 19:41
ComboFix-quarantined-files.txt  2009-05-07 17:41

Avant-CF: 100 904 001 536 octets libres
Après-CF: 100 910 018 560 octets libres

182	--- E O F ---	2009-04-17 12:30

benurrr · Answer

poste un rapport hijackthis stp

a part l'autorun

ant984 · Answer

"A part l'autorun" , c'est a dire? Je refais un scan hijackthis normal?

benurrr · Answer

oui  un normal

et içi tuto sur les autorun

http://forum.malekal.com/ftopic3350.php

ant984 · Answer

Oki voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59:53, on 07/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Steam\Steam.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\program files\steam\steamapps\ant984\condition zero\hl.exe
C:\Program Files\Steam\GameOverlayUI.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\MsgPlusLoader.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE

benurrr · Answer

Telecharge UsbFix de C_XX & Chiquitine29


 Lance l installation avec les paramètres par default

 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

 Double clic sur le raccourci UsbFix sur ton bureau

 Choisi l'option 1 (recherche)

 Laisse travailler l'outil

 Ensuite post le rapport UsbFix.txt qui apparaîtra

* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

ant984 · Answer

Euh dsl je sais pas ou je peux le télécharger... sur google, le seul lien que j'ai trouvé me mène vers une page avec une 404 error.

Merci de me renseigner :D

benurrr · Answer

c'est moi 

oublier de la mettre lol

http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

ant984 · Answer

Voici le rapport : 


############################## [ UsbFix V3.017 # Scan ]

# User : Antoine (Administrateurs) # ODI_ANTOINE
# Update on 06/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 00:40:52 | 08/05/2009

# AMD Athlon(tm) 64 Processor 3400+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# C:\ # Disque fixe local # 128 Go (93,97 Go free) [HP_PAVILION] # NTFS
# D:\ # Disque fixe local # 6,99 Go (1,83 Go free) [HP_RECOVERY] # FAT32
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible
# K:\ # Disque amovible # 1,89 Go (1,34 Go free) # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\System32\alg.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Steam\Steam.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\program files\steam\steamapps\ant984\condition zero\hl.exe
C:\Program Files\Steam\GameOverlayUI.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [  Registre # Startup ]

HKCU_Main:  "Local Page"="C:\WINDOWS\system32\blank.htm" 
HKCU_Main:  "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" 
HKCU_Main:  "Start Page"="https://www.google.fr/?gws_rd=ssl" 
HKLM_logon: "Userinit"="C:\WINDOWS\system32\userinit.exe," 
HKLM_logon: "DefaultUserName"="Antoine" 
HKLM_logon: "AltDefaultUserName"="Antoine" 
HKLM_logon: "LegalNoticeCaption"="" 
HKLM_logon: "LegalNoticeText"="" 
HKLM_Run:    NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup 
HKLM_Run:    StartCCC="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" 
HKLM_Run:    nwiz=nwiz.exe /install 
HKLM_Run:    KBD=C:\HP\KBD\KBD.EXE 
HKLM_Run:    ftutil2=rundll32.exe ftutil2.dll,SetWriteCacheMode 
HKLM_Run:    AlwaysReady Power Message APP=ARPWRMSG.EXE 
HKLM_Run:    AlcxMonitor=ALCXMNTR.EXE 
HKLM_Run:    Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
HKLM_Run:    avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min 
HKLM_Run:    NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit 
HKLM_Run:    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 
HKCU_Run:    ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe  

################## [ Informations ]


################## [ Fichiers # Dossiers infectieux ]


################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\software\microsoft\security center\ "FirewallOverride"  
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 )  

################## [ Registre # Mountpoints2 ]

HKCU\Software\Microsoft\....\MountPoints2\D\Shell\AutoRun\command  

################## [ ! Fin du rapport # UsbFix V3.017 ! ]

ant984 · Answer

Par contre vais bientôt me coucher suis fatigué on continuera les manips demain si tu es dispo bien sûr ;).
Merci d'avance.Bonne nuit

ant984 · Answer

Pour la soit-disant clé infectée je pense que c'est un faux-positif, le pare-feu windows est désactivé par ma volonté, comme je suis derrière un routeur physique, un ami informaticien m'as dit que j'avais pas besoin de pare-feu.

Voilà sur ce bonne nuit !

benurrr · Answer

bonjour

et ton ami informaticien il peut pas t'aider pour ton problème?

ant984 · Answer

Coucou, 
le problème c'est que cet ami est occupé à aménager une nouvelle maison, je vais pas entrer dans les détails^^. 

Mais si tu t'y connais en Anglais j'ai trouvé ce lien qui parle de la clé qui fait arrêter le rootkits search,le voici :

---> https://forum.sysinternals.com/?TID=12445

benurrr · Answer

il parle pas de solution ils tatonne sur le lien que ta poster

&#9654; Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

&#9654; Double clic sur le raccourci UsbFix présent sur ton bureau

&#9654; choisi l'option 2 ( Suppression )

&#9654; Ton bureau disparaîtra et le pc redémarrera .

&#9654; Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

&#9654; Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .

&#9654; Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

ant984 · Answer

Re, voici le rapport :


############################## [ UsbFix V3.017 # Cleaning ]

# User : Antoine (Administrateurs) # ODI_ANTOINE
# Update on 06/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 18:12:28 | 08/05/2009

# AMD Athlon(tm) 64 Processor 3400+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# C:\ # Disque fixe local # 128 Go (93,92 Go free) [HP_PAVILION] # NTFS
# D:\ # Disque fixe local # 6,99 Go (1,83 Go free) [HP_RECOVERY] # FAT32
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible
# K:\ # Disque amovible # 1,89 Go (1,34 Go free) # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]


################## [ Registre # Clés Run infectieuses ]

# HKLM\software\microsoft\security center\ "FirewallOverride"  
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 ) # -> Reset sucessfully !  

################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\Software\Microsoft\....\MountPoints2\D\Shell\AutoRun\command   

################## [ Listing des fichiers présent ]

[02/01/2006 18:18|--a--c---|100] - C:\AUTOEXEC.BAT
[02/04/2006 15:22|-rahsc---|211] - C:\BOOT.BAK
[01/04/2009 21:36|-rahsc---|289] - C:\boot.ini
[10/08/2004 14:00|-rahsc---|4952] - C:\Bootfont.bin
[10/08/2004 14:00|-r-hs----|263488] - C:\cmldr
[07/05/2009 19:41|--a--c---|11800] - C:\ComboFix.txt
[10/10/2005 21:34|--a--c---|0] - C:\CONFIG.SYS
[07/05/2009 17:23|--a--c---|3629] - C:\fixnavi.txt
[?|?|?] - C:\hiberfil.sys
[08/10/2006 18:29|--a--c---|236] - C:\INSTALL.LOG
[10/10/2005 21:34|-rahsc---|0] - C:\IO.SYS
[10/10/2005 21:34|-rahsc---|0] - C:\MSDOS.SYS
[10/08/2004 14:00|-rahs----|47564] - C:\NTDETECT.COM
[04/09/2008 18:05|-rahs----|252240] - C:
tldr
[?|?|?] - C:\pagefile.sys
[29/08/2007 23:29|--ah-c---|268] - C:\sqmdata00.sqm
[30/08/2007 17:38|--ah-c---|268] - C:\sqmdata01.sqm
[14/09/2007 23:52|--ah-c---|268] - C:\sqmdata02.sqm
[16/09/2007 22:43|--ah-c---|268] - C:\sqmdata03.sqm
[17/09/2007 21:58|--ah-c---|268] - C:\sqmdata04.sqm
[19/09/2007 15:29|--ah-c---|268] - C:\sqmdata05.sqm
[19/09/2007 16:37|--ah-c---|268] - C:\sqmdata06.sqm
[19/09/2007 20:44|--ah-c---|268] - C:\sqmdata07.sqm
[19/09/2007 21:43|--ah-c---|268] - C:\sqmdata08.sqm
[04/10/2007 22:00|--ah-c---|268] - C:\sqmdata09.sqm
[06/10/2007 19:56|--ah-c---|268] - C:\sqmdata10.sqm
[15/02/2009 21:55|--ah-c---|268] - C:\sqmdata11.sqm
[06/05/2007 12:09|--ah-c---|268] - C:\sqmdata12.sqm
[20/05/2007 22:01|--ah-c---|268] - C:\sqmdata13.sqm
[19/07/2007 23:26|--ah-c---|268] - C:\sqmdata14.sqm
[21/07/2007 01:08|--ah-c---|268] - C:\sqmdata15.sqm
[21/07/2007 14:22|--ah-c---|268] - C:\sqmdata16.sqm
[26/08/2007 23:45|--ah-c---|268] - C:\sqmdata17.sqm
[27/08/2007 19:46|--ah-c---|268] - C:\sqmdata18.sqm
[29/08/2007 00:31|--ah-c---|268] - C:\sqmdata19.sqm
[29/08/2007 23:29|--ah-c---|244] - C:\sqmnoopt00.sqm
[30/08/2007 17:38|--ah-c---|244] - C:\sqmnoopt01.sqm
[14/09/2007 23:52|--ah-c---|244] - C:\sqmnoopt02.sqm
[16/09/2007 22:43|--ah-c---|244] - C:\sqmnoopt03.sqm
[17/09/2007 21:58|--ah-c---|244] - C:\sqmnoopt04.sqm
[19/09/2007 15:29|--ah-c---|244] - C:\sqmnoopt05.sqm
[19/09/2007 16:37|--ah-c---|244] - C:\sqmnoopt06.sqm
[19/09/2007 20:44|--ah-c---|244] - C:\sqmnoopt07.sqm
[19/09/2007 21:43|--ah-c---|244] - C:\sqmnoopt08.sqm
[04/10/2007 22:00|--ah-c---|244] - C:\sqmnoopt09.sqm
[06/10/2007 19:56|--ah-c---|244] - C:\sqmnoopt10.sqm
[15/02/2009 21:55|--ah-c---|244] - C:\sqmnoopt11.sqm
[06/05/2007 12:09|--ah-c---|244] - C:\sqmnoopt12.sqm
[20/05/2007 22:01|--ah-c---|244] - C:\sqmnoopt13.sqm
[19/07/2007 23:26|--ah-c---|244] - C:\sqmnoopt14.sqm
[21/07/2007 01:08|--ah-c---|244] - C:\sqmnoopt15.sqm
[21/07/2007 14:22|--ah-c---|244] - C:\sqmnoopt16.sqm
[26/08/2007 23:45|--ah-c---|244] - C:\sqmnoopt17.sqm
[27/08/2007 19:46|--ah-c---|244] - C:\sqmnoopt18.sqm
[29/08/2007 00:31|--ah-c---|244] - C:\sqmnoopt19.sqm
[09/04/2007 16:50|--a--c---|20480] - C:	2kg
[19/08/2007 18:31|--a--c---|20480] - C:	2sg
[19/08/2007 18:53|--a--c---|16384] - C:	314
[19/08/2007 12:00|--a--c---|24576] - C:	39c
[19/08/2007 18:23|--a--c---|20480] - C:	3hc
[09/04/2007 16:13|--a--c---|20480] - C:	3uo
[09/11/2008 18:00|--a--c---|510] - C:\updatedatfix.log
[08/05/2009 18:13|--a--c---|5332] - C:\UsbFix.txt
[28/07/2001 07:07|---hs----|0] - D:\AUTOEXEC.BAT
[10/12/2004 20:31|---hs----|6] - D:\BLOCK.RIN
[09/01/2002 20:52|---hs----|244] - D:\BOOT.INI
[17/08/2001 10:26|---hs----|237728] - D:\CMLDR
[28/07/2001 07:07|---hs----|0] - D:\CONFIG.SYS
[10/09/2002 00:14|---hs----|100] - D:\Desktop.ini
[10/09/2002 17:21|---hs----|7850] - D:\Folder.htt
[30/04/2001 21:16|---hs----|14] - D:\Graph
[25/01/2002 19:21|---hs----|0] - D:\GRAPH16
[30/11/2004 12:01|---hs----|73728] - D:\Info.exe
[28/07/2001 07:07|---hs----|0] - D:\IO.SYS
[16/04/2006 19:31|---hs----|950] - D:\MASTER.LOG
[28/07/2001 07:07|---hs----|0] - D:\MSDOS.SYS
[25/07/2001 23:00|---hs----|45124] - D:\NTDETECT.COM
[17/08/2001 16:32|---hs----|0] - D:\NTFS
[25/07/2001 23:00|---hs----|222880] - D:\NTLDR
[10/09/2002 14:58|---hs----|181616] - D:\protect.ed
[10/12/2004 20:23|---hs----|36] - D:\SaveFile.Dir
[30/04/2001 21:16|---hs----|14] - D:\SVGA
[02/01/2006 10:16|--ahs----|906] - D:\USER
[08/02/2002 16:44|---hs----|88038] - D:\Warning.bmp
[18/08/2001 16:00|---hs----|10] - D:\WIN51
[22/01/2001 16:00|---hs----|11] - D:\WIN51.B2
[25/07/2001 16:00|---hs----|11] - D:\WIN51.RC1
[25/07/2001 21:47|---hs----|11] - D:\WIN51.RC2
[18/08/2001 16:00|---hs----|10] - D:\WIN51IC
[20/03/2001 16:00|---hs----|11] - D:\WIN51IC.B2
[25/07/2001 16:00|---hs----|11] - D:\WIN51IC.RC1
[25/07/2001 16:00|---hs----|11] - D:\WIN51IC.RC2
[17/08/2001 16:00|---hs----|10] - D:\WIN51IP
[22/01/2001 16:00|---hs----|11] - D:\WIN51IP.B2
[25/07/2001 21:47|---hs----|11] - D:\WIN51IP.RC2
[17/08/2001 14:17|---hs----|184] - D:\WINBOM.INI
[24/02/2004 17:38|--a------|498] - D:\BATCH.OLD
[01/02/2006 04:03|--ahs----|1552] - D:\BATCH.LOG
[02/01/2006 11:06|---hs----|208] - D:\cPCinfo.log
[16/04/2006 19:31|-r-hs----|26] - D:\RCBoot.sys
[17/07/2008 10:28|--a------|776256] - K:\ez5sys.bin

################## [ Vaccination ]

# C:\autorun.inf -> Folder created by UsbFix.  
# D:\autorun.inf -> Folder created by UsbFix.  
# K:\autorun.inf -> Folder created by UsbFix.  

################## [ Cracks / Keygens / Serials ]

# -> Nothing found !  

################## [ ! Fin du rapport # UsbFix V3.017 ! ]

benurrr · Answer

http://www.gmer.net/

Le scan se fait à partir de l'onglet Rootkit puis en cliquant sur le bouton Scan en bas à droite.
Si gmer détecte un service rootkité, vous avez possibilité une fois le scan terminé en effectuant un clic droit Delete the service le dit service.

içi un tuto

https://www.malekal.com/tutorial-gmer/ très bien fait

ant984 · Answer

Coucou, désolé de ne pas avoir répondu avant mais j'étais assez occupé.

Tu veux que je poste un log de gmer?

benurrr · Answer

salut ; alors sa a donner quoi ?

oui 


Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que ­tu es libre...Merci a australe13

ant984 · Answer

Recoucou, voici les deux logs (un scan du disk C:/ et un du Disk D:/  ) :
Le premier :

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-11 22:40:49
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            BA67BAFE                                                                                               ZwCreateKey
SSDT            BA67BAF4                                                                                               ZwCreateThread
SSDT            BA67BB03                                                                                               ZwDeleteKey
SSDT            BA67BB0D                                                                                               ZwDeleteValueKey
SSDT            sptd.sys                                                                                               ZwEnumerateKey [0xB9EDBD48]
SSDT            sptd.sys                                                                                               ZwEnumerateValueKey [0xB9EDC0C0]
SSDT            BA67BB12                                                                                               ZwLoadKey
SSDT            sptd.sys                                                                                               ZwOpenKey [0xB9EDBAE2]
SSDT            BA67BAE0                                                                                               ZwOpenProcess
SSDT            BA67BAE5                                                                                               ZwOpenThread
SSDT            sptd.sys                                                                                               ZwQueryKey [0xB9EDC18A]
SSDT            sptd.sys                                                                                               ZwQueryValueKey [0xB9EDC022]
SSDT            BA67BB1C                                                                                               ZwReplaceKey
SSDT            BA67BB17                                                                                               ZwRestoreKey
SSDT            BA67BB08                                                                                               ZwSetValueKey
SSDT            BA67BAEF                                                                                               ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?               C:\WINDOWS\system32\drivers\sptd.sys                                                                   Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
?               C:\WINDOWS\System32\Drivers\SPTD2477.SYS                                                               Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
.text           dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7                                                            B87D84D0 16 Bytes  [02, D4, 21, A1, D8, 3D, 66, ...] {ADD DL, AH; AND [ECX-0x6e99c228], ESP; OR EAX, 0xe49536d5; IN EAX, 0x89; PUSH ESP}
.text           dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11                                                       B87D84E1 31 Bytes  [70, 7D, B8, 39, 65, 07, 5C, ...]
?               C:\WINDOWS\System32\Drivers\dtscsi.sys                                                                 Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                     [B9ED7A32] sptd.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                             [B9ED7B6E] sptd.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                    [B9ED7AF6] sptd.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                            [B9ED86CC] sptd.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                    [B9ED85A2] sptd.sys
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                     [B9EFABBC] sptd.sys

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                 8AAC2708

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                 bb-run.sys (Promise Disk Accelerator/Promise Technology, Inc.)

Device          \FileSystem\Fastfat \FatCdrom                                                                          8A392340

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                arkbcfltr.sys (Microsoft AR PS/2 Keyboard Filter Driver (Beta 2 Release 2)/Microsoft Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                arkbcfltr.sys (Microsoft AR PS/2 Keyboard Filter Driver (Beta 2 Release 2)/Microsoft Corporation)

Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                              8AB0D378
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                8AB0D378
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                   8AB0D378
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                  8AB0D378
Device          \Driver\NetBT \Device\NetBT_Tcpip_{F20F78A5-E80C-42C3-9777-7E2A8DD6042A}                               8A58B0E8
Device          \Driver\usbstor \Device\00000070                                                                       8A386C88
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                 8AB0D630
Device          \Driver\usbstor \Device\00000071                                                                       8A386C88
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                 8AB0D630
Device          \Driver\Cdrom \Device\CdRom0                                                                           8A650388
Device          \Driver\usbstor \Device\00000072                                                                       8A386C88
Device          \FileSystem\Rdbss \Device\FsWrap                                                                       8A4244A8
Device          \Driver\Cdrom \Device\CdRom1                                                                           8A650388
Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                                 8AB0D630
Device          \Driver\Ftdisk \Device\HarddiskVolume4                                                                 8AB0D630
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                8A58B0E8
Device          \Driver\00000043 \Device\0000004a                                                                      sptd.sys
Device          \Driver\NetBT \Device\NetbiosSmb                                                                       8A58B0E8
Device          \Driver\Disk \Device\Harddisk0\DR0                                                                     8AAC29C0
Device          \Driver\Disk \Device\Harddisk1\DR5                                                                     8AAC29C0
Device          \Driver\Disk \Device\Harddisk1\DP(1)0-0+9                                                              8AAC29C0
Device          \Driver\Disk \Device\Harddisk2\DP(1)0-0+a                                                              8AAC29C0
Device          \Driver\Disk \Device\Harddisk2\DR6                                                                     8AAC29C0
Device          \Driver\Disk \Device\Harddisk3\DP(1)0-0+b                                                              8AAC29C0
Device          \Driver\Disk \Device\Harddisk3\DR7                                                                     8AAC29C0
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                      8A3B6290
Device          \Driver\Disk \Device\Harddisk4\DP(1)0-0+c                                                              8AAC29C0
Device          \Driver\Disk \Device\Harddisk4\DR8                                                                     8AAC29C0
Device          \Driver\usbstor \Device\0000006e                                                                       8A386C88
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                            8A3B6290
Device          \Driver\usbstor \Device\0000006f                                                                       8A386C88
Device          \FileSystem\Npfs \Device\NamedPipe                                                                     8A5DA5F0
Device          \Driver\Ftdisk \Device\FtControl                                                                       8AB0D630
Device          \FileSystem\Msfs \Device\Mailslot                                                                      8A603770
Device          \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target0Lun0                                               8A545EB0
Device          \Driver\dtscsi \Device\Scsi\dtscsi1                                                                    8A545EB0
Device          \FileSystem\Fastfat \Fat                                                                               8A392340

AttachedDevice  \FileSystem\Fastfat \Fat                                                                               bb-run.sys (Promise Disk Accelerator/Promise Technology, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                               fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                                                                                 8A9F9868

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0                                                     -1778269534
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                     -89719900
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                     -1306907941
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                     1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                       
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                    C:\Program Files\DAEMON Tools\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                    0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                 0xE2 0xA0 0x9D 0xE8 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001              
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0           0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh        0x0A 0x22 0xFF 0xCF ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40        
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh  0xED 0xCA 0xFF 0x67 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                           
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                        C:\Program Files\DAEMON Tools\
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                        0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                     0xE2 0xA0 0x9D 0xE8 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                  
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0               0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh            0x0A 0x22 0xFF 0xCF ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40            
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh      0xA7 0x75 0x14 0x72 ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                           
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                        C:\Program Files\DAEMON Tools\
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                        0
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                     0xE2 0xA0 0x9D 0xE8 ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                  
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0               0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh            0x0A 0x22 0xFF 0xCF ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40            
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh      0xED 0xCA 0xFF 0x67 ...

---- EOF - GMER 1.0.15 ----

Donc voici le premier c'est un peu en bazar avec les retours a la ligne mais bon j'ai copier le log original ;)

ant984 · Answer

Et voici le second : 

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-12 11:42:55
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            BA7EC95E                                                                                               ZwCreateKey
SSDT            BA7EC954                                                                                               ZwCreateThread
SSDT            BA7EC963                                                                                               ZwDeleteKey
SSDT            BA7EC96D                                                                                               ZwDeleteValueKey
SSDT            sptd.sys                                                                                               ZwEnumerateKey [0xB9EDBD48]
SSDT            sptd.sys                                                                                               ZwEnumerateValueKey [0xB9EDC0C0]
SSDT            BA7EC972                                                                                               ZwLoadKey
SSDT            sptd.sys                                                                                               ZwOpenKey [0xB9EDBAE2]
SSDT            BA7EC940                                                                                               ZwOpenProcess
SSDT            BA7EC945                                                                                               ZwOpenThread
SSDT            sptd.sys                                                                                               ZwQueryKey [0xB9EDC18A]
SSDT            sptd.sys                                                                                               ZwQueryValueKey [0xB9EDC022]
SSDT            BA7EC97C                                                                                               ZwReplaceKey
SSDT            BA7EC977                                                                                               ZwRestoreKey
SSDT            BA7EC968                                                                                               ZwSetValueKey
SSDT            BA7EC94F                                                                                               ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?               C:\WINDOWS\system32\drivers\sptd.sys                                                                   Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
?               C:\WINDOWS\System32\Drivers\SPTD2477.SYS                                                               Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
.text           dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7                                                            B87BE4D0 16 Bytes  [61, C1, 39, B2, 99, 24, 33, ...]
.text           dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11                                                       B87BE4E1 31 Bytes  [D0, 7B, B8, 74, 5E, 1F, 0E, ...]
?               C:\WINDOWS\System32\Drivers\dtscsi.sys                                                                 Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
?               C:\DOCUME~1\Odile\LOCALS~1\Temp\mc21.tmp                                                               Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.15 ----

.text           C:\Documents and Settings\Antoine\Bureau\rrbkcc9w.exe[1200] kernel32.dll!FreeLibrary + 15              7C80AC93 4 Bytes  CALL 5F00003D 
.text           C:\HP\KBD\KBD.EXE[1688] kernel32.dll!FreeLibrary + 15                                                  7C80AC93 4 Bytes  CALL 5F00003D 
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[2348] kernel32.dll!FreeLibrary + 15                              7C80AC93 4 Bytes  CALL 5F00003D 
.text           C:\WINDOWS\System32\svchost.exe[2408] kernel32.dll!FreeLibrary + 15                                    7C80AC93 4 Bytes  CALL 5F00003D 
.text           C:\WINDOWS\ALCXMNTR.EXE[2500] kernel32.dll!FreeLibrary + 15                                            7C80AC93 4 Bytes  CALL 5F00003D 
.text           ...                                                                                                    

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                     [B9ED7A32] sptd.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                             [B9ED7B6E] sptd.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                    [B9ED7AF6] sptd.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                            [B9ED86CC] sptd.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                    [B9ED85A2] sptd.sys
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                     [B9EFABBC] sptd.sys

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                 8AAC2708

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                 bb-run.sys (Promise Disk Accelerator/Promise Technology, Inc.)

Device          \FileSystem\Fastfat \FatCdrom                                                                          8A4360E8

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                arkbcfltr.sys (Microsoft AR PS/2 Keyboard Filter Driver (Beta 2 Release 2)/Microsoft Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                arkbcfltr.sys (Microsoft AR PS/2 Keyboard Filter Driver (Beta 2 Release 2)/Microsoft Corporation)

Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                              8AB0D378
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                8AB0D378
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                   8AB0D378
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                  8AB0D378
Device          \Driver\NetBT \Device\NetBT_Tcpip_{F20F78A5-E80C-42C3-9777-7E2A8DD6042A}                               8A5F7240
Device          \Driver\usbstor \Device\00000070                                                                       8A5DB1F8
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                 8AB0D630
Device          \Driver\usbstor \Device\00000071                                                                       8A5DB1F8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                 8AB0D630
Device          \Driver\Cdrom \Device\CdRom0                                                                           8A6754E8
Device          \Driver\usbstor \Device\00000072                                                                       8A5DB1F8
Device          \FileSystem\Rdbss \Device\FsWrap                                                                       8A5690E8
Device          \Driver\Cdrom \Device\CdRom1                                                                           8A6754E8
Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                                 8AB0D630
Device          \Driver\Ftdisk \Device\HarddiskVolume4                                                                 8AB0D630
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                8A5F7240
Device          \Driver\00000043 \Device\0000004a                                                                      sptd.sys
Device          \Driver\NetBT \Device\NetbiosSmb                                                                       8A5F7240
Device          \Driver\Disk \Device\Harddisk0\DR0                                                                     8AAC29C0
Device          \Driver\Disk \Device\Harddisk1\DR5                                                                     8AAC29C0
Device          \Driver\Disk \Device\Harddisk1\DP(1)0-0+9                                                              8AAC29C0
Device          \Driver\Disk \Device\Harddisk2\DP(1)0-0+a                                                              8AAC29C0
Device          \Driver\Disk \Device\Harddisk2\DR6                                                                     8AAC29C0
Device          \Driver\Disk \Device\Harddisk3\DP(1)0-0+b                                                              8AAC29C0
Device          \Driver\Disk \Device\Harddisk3\DR7                                                                     8AAC29C0
Device          \Driver\Disk \Device\Harddisk4\DP(1)0-0+c                                                              8AAC29C0
Device          \Driver\Disk \Device\Harddisk4\DR8                                                                     8AAC29C0
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                      8A5B1848
Device          \Driver\usbstor \Device\0000006e                                                                       8A5DB1F8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                            8A5B1848
Device          \Driver\usbstor \Device\0000006f                                                                       8A5DB1F8
Device          \FileSystem\Npfs \Device\NamedPipe                                                                     8A6310E8
Device          \Driver\Ftdisk \Device\FtControl                                                                       8AB0D630
Device          \FileSystem\Msfs \Device\Mailslot                                                                      8A611748
Device          \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target0Lun0                                               8A555CD0
Device          \Driver\dtscsi \Device\Scsi\dtscsi1                                                                    8A555CD0
Device          \FileSystem\Fastfat \Fat                                                                               8A4360E8

AttachedDevice  \FileSystem\Fastfat \Fat                                                                               bb-run.sys (Promise Disk Accelerator/Promise Technology, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                               fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                                                                                 8A50B300

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0                                                     -1778269534
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                     -89719900
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                     -1306907941
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                     1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                       
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                    C:\Program Files\DAEMON Tools\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                    0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                 0xE2 0xA0 0x9D 0xE8 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001              
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0           0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh        0x0A 0x22 0xFF 0xCF ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40        
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh  0xED 0xCA 0xFF 0x67 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                           
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                        C:\Program Files\DAEMON Tools\
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                        0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                     0xE2 0xA0 0x9D 0xE8 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                  
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0               0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh            0x0A 0x22 0xFF 0xCF ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40            
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh      0xA7 0x75 0x14 0x72 ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                           
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                        C:\Program Files\DAEMON Tools\
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                        0
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                     0xE2 0xA0 0x9D 0xE8 ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                  
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0               0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh            0x0A 0x22 0xFF 0xCF ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40            
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh      0xED 0xCA 0xFF 0x67 ...

---- EOF - GMER 1.0.15 ----

ant984 · Answer

Bon voilà c'est assez dur a lire je comprends, je tiens juste a dire que je n'ai eu aucune alerte de rootkits détecté durant les deux scans.

benurrr · Answer

fait un scan en ligne ici 

https://www.trendmicro.com/en_us/forHome/products/housecall.html

même s'il ne détecte pas d'infection il peut dévoiler des faille de sécurité

ant984 · Answer

salut, désolé ton scan en ligne marche pas il reste 2 heures sur la préparation...

benurrr · Answer

va a celui la

http://www.bitdefender.fr/scan_fr/scan8/ie.html

si l'autre ne marche pas c'est ta plate forme java pas a jour

ant984 · Answer

Re, bon je ne suis pas encore aller sur ton site par contre le guard d'antivir m'as dit que j'avais un trojan : HpHuni03.exe , qui est selon la recherche sur un site recensant les processus, un exe de hp photosmart.

Je l'ai mis en quarantaine et je ne sais pas quoi en faire, Antivir me dit que c'est le trojan Tr/Lena.B

Tiens un nouveau encore que le guard découvre, tjrs un Tr/Lena.B 

...ET tiens c'est bizarre,je suis en train de faire un scan malware bytes et le guard les trouve quand malware bytes recherche dans la zone ou le guard trouve le soi disant virus...Tu me suis? :P

ant984 · Answer

C'est bizarre... le guard calque ses recherches sur le scan de malwarebytes...Je lance un scan antivir

ant984 · Answer

Pour le scan antivir tjrs le mm problème pour le rootkit search il passe de 68% a 100%..

benurrr · Answer

Fait vérifier ces fichier sur virus total

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ces fichiers par contre tu peut verifier les fichier que un par un:

HpHuni03.exe

Clique sur envoyer le fichier.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

par moment il y'a déjà un rapport de prêt toi tu fera réanalyser le fichier maintenant 

ouvre antivir et va sur rapport poste le dernier rapport 

pour malwarbyte c'est normal il fait un très bon complément de antivir se qu'il peut pas virer il fait appel a antivir


Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que ­tu es libre...Merci a australe13

ant984 · Answer

Et voici le rapport antivir : Avira AntiVir Personal Report file date: mercredi 13 mai 2009 18:17 Scanning for 1390366 virus strains and unwanted programs. Licensee : Avira AntiVir Personal - FREE Antivirus Serial number : 0000149996-ADJIE-0000001 Platform : Windows XP Windows version : (Service Pack 3) [5.1.2600] Boot mode : Normally booted Username : Antoine Computer name : ODI_ANTOINE Version information: BUILD.DAT : 9.0.0.394 17962 Bytes 17/04/2009 11:20:00 AVSCAN.EXE : 9.0.3.5 466689 Bytes 28/04/2009 16:58:52 AVSCAN.DLL : 9.0.3.0 40705 Bytes 27/02/2009 08:58:24 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 09:35:49 LUKERES.DLL : 9.0.2.0 12033 Bytes 27/02/2009 08:58:52 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 10:30:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 18:33:26 ANTIVIR2.VDF : 7.1.3.185 2010112 Bytes 12/05/2009 19:10:32 ANTIVIR3.VDF : 7.1.3.192 36864 Bytes 12/05/2009 19:10:33 Engineversion : 8.2.0.166 AEVDF.DLL : 8.1.1.1 106868 Bytes 30/04/2009 18:02:10 AESCRIPT.DLL : 8.1.1.81 385401 Bytes 08/05/2009 18:02:19 AESCN.DLL : 8.1.1.10 127348 Bytes 28/04/2009 16:58:52 AERDL.DLL : 8.1.1.3 438645 Bytes 29/10/2008 16:24:41 AEPACK.DLL : 8.1.3.16 397686 Bytes 08/05/2009 18:02:17 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26/02/2009 18:01:56 AEHEUR.DLL : 8.1.0.128 1757559 Bytes 08/05/2009 18:02:15 AEHELP.DLL : 8.1.2.2 119158 Bytes 26/02/2009 18:01:56 AEGEN.DLL : 8.1.1.42 348531 Bytes 08/05/2009 18:02:07 AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 12:32:40 AECORE.DLL : 8.1.6.9 176500 Bytes 28/04/2009 16:58:51 AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 12:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 06:47:59 AVPREF.DLL : 9.0.0.1 43777 Bytes 05/12/2008 08:32:15 AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 12:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 05/12/2008 08:32:09 AVARKT.DLL : 9.0.0.3 292609 Bytes 28/04/2009 16:58:52 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 08:37:08 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 13:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 06:21:33 NETNT.DLL : 9.0.0.0 11521 Bytes 05/12/2008 08:32:10 RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09/02/2009 09:45:45 RCTEXT.DLL : 9.0.37.0 86785 Bytes 28/04/2009 16:58:51 Configuration settings for the scan: Jobname.............................: Manual Selection Configuration file..................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\PROFILES\folder.avp Logging.............................: low Primary action......................: interactive Secondary action....................: ignore Scan master boot sector.............: on Scan boot sector....................: on Boot sectors........................: C:, D:, Process scan........................: on Scan registry.......................: on Search for rootkits.................: on Integrity checking of system files..: off Scan all files......................: Intelligent file selection Scan archives.......................: on Recursion depth.....................: 20 Smart extensions....................: on Macro heuristic.....................: on File heuristic......................: medium Deviating risk categories...........: +SPR, Start of the scan: mercredi 13 mai 2009 18:17 Starting search for hidden objects. '53223' objects were checked, '0' hidden objects were found. The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'firefox.exe' - '1' Module(s) have been scanned Scan process 'mbam.exe' - '1' Module(s) have been scanned Scan process 'taskmgr.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'rundll32.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'ALCXMNTR.EXE' - '1' Module(s) have been scanned Scan process 'kbd.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'mcrdsvc.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 30 processes with 30 modules were scanned Starting master boot sector scan: Master boot sector HD0 [INFO] No virus was found! Master boot sector HD1 [INFO] No virus was found! Master boot sector HD2 [INFO] No virus was found! Master boot sector HD3 [INFO] No virus was found! Master boot sector HD4 [INFO] No virus was found! Start scanning boot sectors: Boot sector 'C:\' [INFO] No virus was found! Boot sector 'D:\' [INFO] No virus was found! Starting to scan executable files (registry). The registry was scanned ( '68' files ). Starting the file scan: Begin scan in 'C:\' C:\hiberfil.sys [WARNING] The file could not be opened! [NOTE] This file is a Windows system file. [NOTE] This file cannot be opened for scanning. C:\pagefile.sys [WARNING] The file could not be opened! [NOTE] This file is a Windows system file. [NOTE] This file cannot be opened for scanning. C:\WINDOWS\system32\drivers\dtscsi.sys [WARNING] The file could not be opened! C:\WINDOWS\system32\drivers\sptd.sys [WARNING] The file could not be opened! C:\WINDOWS\system32\drivers\sptd2477.sys [WARNING] The file could not be opened! Begin scan in 'D:\' End of the scan: mercredi 13 mai 2009 19:14 Used time: 56:28 Minute(s) The scan has been done completely. 8607 Scanned directories 644389 Files were scanned 0 Viruses and/or unwanted programs were found 0 Files were classified as suspicious 0 files were deleted 0 Viruses and unwanted programs were repaired 0 Files were moved to quarantine 0 Files were renamed 5 Files cannot be scanned 644384 Files not concerned 16414 Archives were scanned 5 Warnings 2 Notes 53223 Objects were scanned with rootkit scan 0 Hidden objects were found

benurrr · Answer

ton rapport antivir est propre et complet 

tu peut meme installer le nouveau antivir 9 et on plus il est en francais

et le fichier tu la scanner sur virus total ?

ant984 · Answer

Euh c'est bizarre je poste le log virus_total mais ça n'as pas l'air de vouloir s'afficher...

ant984 · Answer

Bon ben je ne poste pas les informations additionelles.....
Antivirus  	Version  	Dernière mise à jour  	Résultat
a-squared	4.0.0.101	2009.05.13	Trojan.Lena!IK
AhnLab-V3	5.0.0.2	2009.05.13	-
AntiVir	7.9.0.166	2009.05.13	-
Antiy-AVL	2.0.3.1	2009.05.13	-
Authentium	5.1.2.4	2009.05.13	-
Avast	4.8.1335.0	2009.05.13	-
AVG	8.5.0.327	2009.05.13	-
BitDefender	7.2	2009.05.13	-
CAT-QuickHeal	10.00	2009.05.13	-
ClamAV	0.94.1	2009.05.13	-
Comodo	1157	2009.05.08	-
DrWeb	5.0.0.12182	2009.05.13	-
eSafe	7.0.17.0	2009.05.12	-
eTrust-Vet	31.6.6503	2009.05.13	-
F-Prot	4.4.4.56	2009.05.13	-
F-Secure	8.0.14470.0	2009.05.13	-
Fortinet	3.117.0.0	2009.05.13	-
GData	19	2009.05.13	-
Ikarus	T3.1.1.49.0	2009.05.13	Trojan.Lena
K7AntiVirus	7.10.734	2009.05.13	-
Kaspersky	7.0.0.125	2009.05.13	-
McAfee	5614	2009.05.13	-
McAfee+Artemis	5614	2009.05.13	-
McAfee-GW-Edition	6.7.6	2009.05.13	-
Microsoft	1.4602	2009.05.13	-
NOD32	4072	2009.05.13	-
Norman	6.01.05	2009.05.13	-
nProtect	2009.1.8.0	2009.05.13	-
Panda	10.0.0.14	2009.05.13	-
PCTools	4.4.2.0	2009.05.07	-
Prevx	3.0	2009.05.13	-
Rising	21.29.24.00	2009.05.13	-
Sophos	4.41.0	2009.05.13	-
Sunbelt	3.2.1858.2	2009.05.13	-
Symantec	1.4.4.12	2009.05.13	-
TheHacker	6.3.4.1.325	2009.05.13	-
TrendMicro	8.950.0.1092	2009.05.13	-
VBA32	3.12.10.5	2009.05.13	-
ViRobot	2009.5.13.1733	2009.05.13	-
VirusBuster	4.6.5.0	2009.05.13	-

benurrr · Answer

salut

2 sur 40 en peut  dire qu'il est normal

on va scanner avec g-data remover anti rootkit

http://www.commentcamarche.net/telecharger/telechargement 34055373 remover exe gdata

ant984 · Answer

Re, rien dans le rapport a part qu'il m'indique qu'un fichier modifie des hosts avec des adresses 127.0.0.1 et des noms de sites bizarres, qui appartenait a Spybot.Je pense que c'est un fichier qui bloque l'acces a des sites contenant des spywares,adwares,etc...

benurrr · Answer

fichier host c'est normal et ta raison il sert a sa

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. 
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lance l'installation du programme en exécutant le fichier téléchargé. 
* Double-clique maintenant sur le raccourci de Toolbar-S&D. 
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. 
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. 
* Poste le rapport généré. (C:\TB.txt) 


Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que ­tu es libre...Merci a australe13

ant984 · Answer

Recoucou, voici le rapport :


   -----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3400+ )
   BIOS : Phoenix - Award BIOS v6.00PG
   USER : Antoine ( Administrator )
   BOOT : Normal boot
   Antivirus : AntiVir Desktop 9.0.1.26 (Activated)
   C:\ (Local Disk) - NTFS - Total:128 Go (Free:93 Go)
   D:\ (Local Disk) - FAT32 - Total:6 Go (Free:1 Go)
   E:\ (CD or DVD)
   F:\ (CD or DVD)
   G:\ (USB)
   H:\ (USB)
   I:\ (USB)
   J:\ (USB)
   K:\ (USB) - FAT - Total:1930 Mo (Free:1 Go)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [1] ( 14/05/2009|22:46 )

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Url"="https://www.microsoft.com/fr-fr/?ref=go"
   "Url"="https://docs.microsoft.com/en-us/archive/blogs/"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Start Page"="https://www.msn.com/fr-fr"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "C:\ToolBar SD\TB_1.txt" - 14/05/2009|22:40 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 14/05/2009|22:46 - Option : [1]

   -----------\  Fin du rapport a 22:46:24,00



Voilou voilou je te dis a demain je vais me pieuter. A demain ! ;)

benurrr · Answer

salut

sur tes rapport il y'a rien

tu peut ta version d'antivir et installer la dernière la 9

http://www.commentcamarche.net/telecharger/telechargement 55 antivir personal

pour le configurer c'est comme le 8 je voit que tu la déjà configurer

et lance un scanne


Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que ­tu es libre...Merci a australe13

ant984 · Answer

Salut le dernier rapport antivir que j'ai posté a été fait avec la version 9 (mais en anglais).J'ai installé la version fr, bien que l'anglais utilisé était assez basique.
En tout cas voici le nouveau rapport : 



Avira AntiVir Personal
Date de création du fichier de rapport : vendredi 15 mai 2009  12:45

La recherche porte sur 1395468 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : Antoine
Nom de l'ordinateur     : ODI_ANTOINE

Informations de version :
BUILD.DAT               : 9.0.0.65      17959 Bytes  22/04/2009 12:06:00
AVSCAN.EXE              : 9.0.3.6      466689 Bytes  21/04/2009 12:20:54
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
ANTIVIR0.VDF            : 7.1.0.0    15603712 Bytes  27/10/2008 11:30:36
ANTIVIR1.VDF            : 7.1.2.12    3336192 Bytes  11/02/2009 19:33:26
ANTIVIR2.VDF            : 7.1.3.185   2010112 Bytes  12/05/2009 11:20:19
ANTIVIR3.VDF            : 7.1.3.211    110592 Bytes  15/05/2009 10:44:46
Version du moteur       : 8.2.0.166
AEVDF.DLL               : 8.1.1.1      106868 Bytes  14/05/2009 11:20:22
AESCRIPT.DLL            : 8.1.1.81     385401 Bytes  14/05/2009 11:20:22
AESCN.DLL               : 8.1.1.10     127348 Bytes  14/05/2009 11:20:21
AERDL.DLL               : 8.1.1.3      438645 Bytes  29/10/2008 17:24:41
AEPACK.DLL              : 8.1.3.16     397686 Bytes  14/05/2009 11:20:21
AEOFFICE.DLL            : 8.1.0.36     196987 Bytes  26/02/2009 19:01:56
AEHEUR.DLL              : 8.1.0.128   1757559 Bytes  14/05/2009 11:20:21
AEHELP.DLL              : 8.1.2.2      119158 Bytes  26/02/2009 19:01:56
AEGEN.DLL               : 8.1.1.42     348531 Bytes  14/05/2009 11:20:19
AEEMU.DLL               : 8.1.0.9      393588 Bytes  09/10/2008 13:32:40
AECORE.DLL              : 8.1.6.9      176500 Bytes  14/05/2009 11:20:19
AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.0.1       43777 Bytes  03/12/2008 10:39:26
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.21    2438401 Bytes  17/02/2009 12:49:32
RCTEXT.DLL              : 9.0.37.0      88321 Bytes  15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Sélection manuelle
Fichier de configuration......................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\PROFILES\folder.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: élevé
Catégories de dangers divergentes.............: +SPR,

Début de la recherche : vendredi 15 mai 2009  12:45

La recherche d'objets cachés commence.
'52656' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avconfig.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALCXMNTR.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'kbd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPZIPM12.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'30' processus ont été contrôlés avec '30' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD2
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD3
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD4
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '68' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <HP_PAVILION>
C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\WINDOWS\system32\drivers\dtscsi.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\sptd2477.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !


Fin de la recherche : vendredi 15 mai 2009  13:24
Temps nécessaire: 39:22 Minute(s)

La recherche a été effectuée intégralement

   8128 Les répertoires ont été contrôlés
 574239 Des fichiers ont été contrôlés
      0 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      5 Impossible de contrôler des fichiers
 574234 Fichiers non infectés
   9911 Les archives ont été contrôlées
      5 Avertissements
      2 Consignes
  52656 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

Voilou Voilou, toujours le même problème lors du rootkitscan qui passe de 68% a 100%

benurrr · Answer

re

je pense c'est parce que il y'a rien c'est pour sa qu'il passe de 68 a 100% car il na rien a supprimer

contre les rootkit les 2 meilleure outil sont Gmer ont la déjà passer et il a rien trouver sinon y'a sophos anti-rootkit

que tu télécharger içi il faut s'inscrire mais il est gratuit

http://www.sophos.fr/products/free-tools/sophos-anti-rootkit.html

si lui ne trouve rien c'est que ta rien et on passera un outil qui va éliminer les outils que je t'ai fait télécharger

ant984 · Answer

Coucou, rien de détecter pour le scan sophos ;)

benurrr · Answer

pour nettoyer les fix qui ont servit

Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.
http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner

Double clique sur ToolsCleaner2.exe >
puis Recherche
et sur Suppression
Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

tu poste le rapport générer après suppression

ant984 · Answer

Re, voila ToolsCleaner2.exe a supprimer pas mal des fixs, j'ai supprimer manuellement Sophos et les icônes de quelques fixs sur mon bureau. Par contre pdt la recherche mon bureau a pas disparu :D (peut être parce que j'avais oublier de fermer la page internet... ^^).
Et je peux pas te poster le rapport puisque qu'après la 1ere suppression comme il en rester 1 ou 2 jme suis dit faut refaire une recherche,mais bon elle n'a servie a rien de plus.En tout cas tout à  l'air clean =D.

En tout cas, merci de m'avoir aider et suivi tout ce temps benurr, jte suis vraiment reconnaissant ;) !!!!!!! Si y'avait un truc pour noter les helpers jte mettrais 20/10 :D parce que bon j'aime bien ce forum mais les 6,7 sujets que j'ai posté on a du me répondre sur a peine plus de la moitié ou alors j'ai du les up 10 ans etc...Donc un GRAND merci a toi et continue comme ça t'es vraiment un bon helper, pas stressant,etc voila quoi merci bcp ^^ ^^ ^^ ^^ ^^.

Byeuh ! :)

benurrr · Answer

merci c'est gentille

je te conseille de garder malwarbyte ccleaner superantispyware

Ok 

tu va télécharger Ccleaner https://www.ccleaner.com/ccleaner/download

ouvre "Ccleaner" vas dans l'onglet "Option" puis "Avancé" puis décoches "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures."

. Puis vas dans l'onglet "Nettoyeur" fais "Analyse" puis "Lancer le nettoyage".
 Puis vas dans l'onglet "Registre" puis fait "Chercher des erreurs" puis "Réparer les erreurs sélectionnée"
. Tu refais tous ca 4-5 fois (le nettoyage et le registre). 

Puis reste dans "Ccleaner" puis va dans "Option" puis "Propriété" puis coches "Nettoyer automatiquement l'ordinateur au démarrage". 

içi mode d'emploi pour ccleaner

https://www.malekal.com/tutoriel-ccleaner/

--------apres

malwarbyte : c'est un anti-malware

télécharge malwarbyte http://www.commentcamarche.net/telecharger/telechargement 34055379 malwarebytes anti malware

a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher 

Une fois a jour, le programme va se lancer; clic sur l´onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression". 

A la fin du scan clique sur Afficher les résultats 

Suppression des éléments détectés >>>> clique sur Supprimer la sélection ou supprimer tout 
S'il t'es demandé de redémarrer >>> clique sur "Yes" 

Et tu poste le rapport générer 

et on attendant une réponse tu peut refaire un scan malwarbyte mais on mode sans échec car beaucoup plus efficace 

(Pour cela, tu tapotes la touche F8 dès le début de l’allumage du PC sans t’arrêter)
Ne jamais démarrer en mode sans échec via msconfig

comment démarrer on mode sans échec ici tuto http://www.infos-du-net.com/forum/272325-11-tuto-demarrer-mode-echec

tu enregistre le rapport générer de façon a le retrouver et tu poste le nouveau rapport rapport

---------------apres

super anti-spyware : comme son nom l'indique c'est un anti espion 

Télécharge Superantispyware (SAS)

http://www.superantispyware.com/superantispywarefreevspro.ht%C2%ADml



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Préférences, clique sur le bouton "Préférences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning (Fermer Navigateur avant le scan)

Scan for tracking cookies (Scan pour dépister les cookies)

Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C: + des autre partition \Fixed Drive.

Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.

Regarde bien le tuto SuperAntiSpyware il est très bien expliqué. 

https://www.malekal.com/?s=SUPERAntiSpyware

ant984 · Answer

Bijoooour, Voici les deux rapports (malwarebytes et SUPERAntispyware) : 

Pour commencer Malwarebytes : 

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2137
Windows 5.1.2600 Service Pack 3

15/05/2009 23:40:51
mbam-log-2009-05-15 (23-40-51).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 190699
Temps écoulé: 2 hour(s), 8 minute(s), 43 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

ET voici SUPERAntispyware : 

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 05/16/2009 at 00:23 AM

Application Version : 4.26.1002

Core Rules Database Version : 3895
Trace Rules Database Version: 1843

Scan type       : Complete Scan
Total Scan Time : 00:30:21

Memory items scanned      : 431
Memory threats detected   : 0
Registry items scanned    : 5875
Registry threats detected : 0
File items scanned        : 40182
File threats detected     : 8

Adware.Tracking Cookie
	.xiti.com [ C:\Documents and Settings\HP_Administrateur\Application Data\Mozilla\Firefox\Profiles\3mfvxtw0.default\cookies.txt ]
	C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@2o7[2].txt
	.adtech.de [ C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\7sz0bcia.default\cookies.txt ]
	.advertising.com [ C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\7sz0bcia.default\cookies.txt ]
	.advertising.com [ C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\7sz0bcia.default\cookies.txt ]
	.advertising.com [ C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\7sz0bcia.default\cookies.txt ]
	.advertising.com [ C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\7sz0bcia.default\cookies.txt ]
	www.googleadservices.com [ C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\7sz0bcia.default\cookies.txt ]

Voilou voilou (PS : J'ai du arreter le scan après qu'il est trouvé des cookies de pistages, mais j'ai fait un autre scan et celui ci complet de Superantispyware, et la plus rien de trouvé ^^)

benurrr · Answer

salut

ok la on est bon

d'autre problème a soumettre ?

ant984 · Answer

Salut, euh oui un ptit dernier problème par rapport au mode sans échec...

Quand je reboot en mode sans échec, le curseur a la page ou on choisi les session est très très très lent,des pixels du curseur disparaissent, réaparaissent  10 sec plus tard,etc.Je dois bien mettre 2min pour pouvoir atteindre le nom de ma session et 1min le temps que le clique pour mettre le mdp fonctionne...C'est très énervant ! De plus lorsque que je suis sur le bureau en mode sans échec et que je veux faire un scan (exmple malwarebytes) il met très longtemps ( + de 2h30)...C'est normal ou il manque des pilotes (jveux dire des pilotes essentiels) ou des trucs comme ça? 

Merci de m'éclairer ;)

benurrr · Answer

non c'est normal qu'il soit au ralenti car avec le mode sans échec il démarre le minimum de processus

ant984 · Answer

Okay marchi pour tout ;)

benurrr · Answer

lol

bon surf et attention au bebette

ant984 · Answer

Merci bcp ;)

Gros problème de rootkits search d'Antivir !

61 réponses

Votre réponse

Discussions similaires

Newsletters