Rootkit sur mon pc Fermé

Question

Bonjour,

je viens de scanner mon pc avec Avira AntiRootkit Tool et il semblerait qu'il m'est trouvé quelque chose. Je poste ici le rapport. Je souhaiterai que quelqu'un puisse me dire de quoi il en retourne ? Je vous remercie d'avance.

Avira AntiRootkit Tool (1.1.0.1)

========================================================================================================
 - Scan started dimanche 5 juillet 2009 - 13:27:00
========================================================================================================

--------------------------------------------------------------------------------------------------------
   Configuration:
--------------------------------------------------------------------------------------------------------
 - [X] Scan files
 - [X] Scan registry
 - [X] Scan processes
 - [ ] Fast scan
 - Working disk total size : 140.78 GB
 - Working disk free size : 84.87 GB (60 %)
--------------------------------------------------------------------------------------------------------

Results:
Hidden key : HKEY_LOCAL_MACHINE\Software\msivx
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag10.00.00.01workstation
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys -> group

--------------------------------------------------------------------------------------------------------
Files: 0/0
Registry items: 8/374692
Processes: 0/39
Scan time: 00:01:57
--------------------------------------------------------------------------------------------------------
Active processes:
  - cficpmij.exe     (PID 3052) (Avira AntiRootkit Tool)
  - System           (PID 4)
  - smss.exe         (PID 556)
  - csrss.exe        (PID 604)
  - winlogon.exe     (PID 628)
  - services.exe     (PID 672)
  - lsass.exe        (PID 684)
  - nvsvc32.exe      (PID 848)
  - svchost.exe      (PID 876)
  - svchost.exe      (PID 988)
  - svchost.exe      (PID 1084)
  - svchost.exe      (PID 1180)
  - svchost.exe      (PID 1324)
  - explorer.exe     (PID 1504)
  - sched.exe        (PID 1660)
  - svchost.exe      (PID 1788)
  - realsched.exe    (PID 1940)
  - MaxMenuMgr.exe   (PID 1968)
  - rundll32.exe     (PID 2004)
  - jusched.exe      (PID 2024)
  - avgnt.exe        (PID 2036)
  - NMBgMonitor.exe  (PID 168)
  - btdna.exe        (PID 192)
  - ctfmon.exe       (PID 212)
  - GoogleToolbarNotifier.exe (PID 220)
  - NMIndexStoreSvr.exe (PID 500)
  - avguard.exe      (PID 340)
  - mDNSResponder.exe (PID 608)
  - dlcgcoms.exe     (PID 1044)
  - jqs.exe          (PID 1380)
  - SyncServices.exe (PID 1448)
  - svchost.exe      (PID 2104)
  - wdfmgr.exe       (PID 2192)
  - NMIndexingService.exe (PID 2740)
  - alg.exe          (PID 3396)
  - spoolsv.exe      (PID 1956)
  - tempo-6366531.tmp (PID 3560)
  - avscan.exe       (PID 2876)
  - avirarkd.exe     (PID 3740)
========================================================================================================
 - Scan finished  dimanche 5 juillet 2009 - 13:28:57
========================================================================================================

Redbart · Answer

Bjr
oui, il existe des logiciels efficaces: 
https://www.myantispyware.com/2009/06/24/how-to-remove-msivxservsys-trojan-google-redirect-virus/
efface ou supprime avec avira

nota : ce n'est pas une invitation à utiliser "myantispyware" ou "quad_cleaner" 
mais les infos données sur le site semblent sérieux

Nobuko · Answer

En fait ce que je désirais savoir c'était si mon pc était bel et bien infecté par un rootkit et si oui, comment m'en débarasser ?

J'ai oublié de préciser que j'ai déjà Malwarebytes mais que depuis aujourd'hui, il refuse de s'ouvrir. Je pense que c'est peut-être dus à un virus quelconque.

Redbart · Answer

in fact, je pense que tu ne suis pas le lien qu'on je propose où tu ne lis pas un peu d'anglais, isn'it?

Nobuko · Answer

Non désolé, je ne lis pas du tout l'anglais et je n'ai pas trop compris ton lien en fait.

Redbart · Answer

en gros le site explique :

MSIVXserv.sys trojan is a new hidden trojan/rootkit from DNSChanger trojan family. The trojan uses rootkit-specific techniques designed to hide the software presence in the system. Once infected it blocks user access to security websites, blocks Spybot, AdAware, AVG, Superantispyware and Malwarebytes Anti-malware. Search results in Google, Yahoo, MSN and other redirects you to other non related sites.

Also msivxserv.sys trojan changes the DNS server options to the following fixed IPs: 85.255.112.95, 85.255.112.171, 85.255.112.204, 85.255.112.90

voici la traduction (+-approximative) obtenu en 0,1 sec sur google "outils linguistiques" :
MSIVXserv.sys un nouveau cheval de Troie est caché trojan / rootkit de DNSChanger trojan famille. Le trojan rootkit utilise des techniques spécifiques visant à cacher la présence de logiciels dans le système. Une fois infecté, il bloque l'accès des utilisateurs à la sécurité des sites Web, des blocs, Spybot, AdAware, AVG, SUPERAntiSpyware et Malwarebytes anti-malware. Résultats de la recherche dans Google, Yahoo, MSN et autres, vous redirige vers d'autres sites non liés. 

Aussi msivxserv.sys cheval de Troie modifie le serveur DNS des options à la suite fixe IP: 85.255.112.95, 85.255.112.171, 85.255.112.204, 85.255.112.90

comprends tu pourquoi malwarbytes ne s'ouvre pas?

Nobuko · Answer

D'accord, et comment je fais pour me débarasser de cette saloperie de rootkit alors ?

Redbart · Answer

Avira AntiRootkit Tool n'a pas de fonction de suppression?
je ne connais le logiciel, mais pas ses fonctions
j'utilise avira antivir qui intègre la fonction anti root kit

Nobuko · Answer

Non, il n'a pas de fonction de suppression.

Avira Antivir devrait me l'enlever sinon ?

Redbart · Answer

Ok vu, non il n'a pas de fonction de suppression et en plus il ne detecte que dans les programmes actifs dans cette version gratuite 
oui avira antivir fait le boulot, fait un nettoyage complet puis vérifie avec ARK

Nobuko · Answer

Heu... c'est quoi ARK ?

Redbart · Answer

Avira AntiRootKit Tool 
désolé, c'est mon esprit germanique qui à pris le dessus par Wotan

Nobuko · Answer

Ah ok, j'aurai dus savoir. XD

Ok merci, je vais faire comme ça et je te tiens au courant.

En tout cas visiblement, cette saloperie ne me bloque que Malwarebytes, ainsi que des logs genre MSNFix ou HijackThis (j'ai tenté des scans avec ces deux logs mais aucun n'a voulut se lancer).

Nobuko · Answer

Bon, j'ai passé Antivir Avira et voilà le rapport :

Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 5 juillet 2009  18:33

La recherche porte sur 1447559 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 2)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : GAGNEUX-92ECF64

Informations de version :
BUILD.DAT               : 9.0.0.65      17959 Bytes  22/04/2009 12:06:00
AVSCAN.EXE              : 9.0.3.6      466689 Bytes  21/04/2009 12:20:54
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
ANTIVIR0.VDF            : 7.1.0.0    15603712 Bytes  27/10/2008 11:30:36
ANTIVIR1.VDF            : 7.1.4.132   5707264 Bytes  24/06/2009 15:27:19
ANTIVIR2.VDF            : 7.1.4.173    306688 Bytes  02/07/2009 18:38:16
ANTIVIR3.VDF            : 7.1.4.181     41472 Bytes  05/07/2009 16:32:39
Version du moteur       : 8.2.0.204
AEVDF.DLL               : 8.1.1.1      106868 Bytes  17/06/2009 13:35:00
AESCRIPT.DLL            : 8.1.2.13     426362 Bytes  02/07/2009 18:38:18
AESCN.DLL               : 8.1.2.3      127347 Bytes  17/06/2009 13:35:00
AERDL.DLL               : 8.1.2.2      438642 Bytes  02/07/2009 18:38:18
AEPACK.DLL              : 8.1.3.18     401783 Bytes  17/06/2009 13:34:59
AEOFFICE.DLL            : 8.1.0.38     196987 Bytes  18/06/2009 13:45:59
AEHEUR.DLL              : 8.1.0.137   1823095 Bytes  27/06/2009 18:38:14
AEHELP.DLL              : 8.1.3.6      205174 Bytes  17/06/2009 13:34:56
AEGEN.DLL               : 8.1.1.48     348532 Bytes  02/07/2009 18:38:17
AEEMU.DLL               : 8.1.0.9      393588 Bytes  09/10/2008 13:32:40
AECORE.DLL              : 8.1.6.12     180599 Bytes  17/06/2009 13:34:56
AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.0.1       43777 Bytes  03/12/2008 10:39:26
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.21    2438401 Bytes  17/02/2009 12:49:32
RCTEXT.DLL              : 9.0.37.0      88321 Bytes  15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, G:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +SPR,

Début de la recherche : dimanche 5 juillet 2009  18:33

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\modules
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\start
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys	ype
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\imagepath
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\group
    [INFO]      L'entrée d'enregistrement n'est pas visible.
'6885' objets ont été contrôlés, '5' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMIndexingService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SyncServices.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dlcgcoms.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMIndexStoreSvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'btdna.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMBgMonitor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MaxMenuMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'35' processus ont été contrôlés avec '35' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'G:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '52' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Marc\Local Settings	emp	mp82.tmp
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen
C:\Documents and Settings\Marc\Local Settings	emp	mp83.tmp
    [RESULTAT]  Contient le cheval de Troie TR/Alureon.BP.8
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\go[1].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\myport[1].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\smartsearch[1].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[1].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[2].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[3].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[4].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[5].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WTERGTE7\promote[1].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'G:\' <OneTouch 4>
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP249\A0045570.exe
    [RESULTAT]  Contient le modèle de détection du programme SPR/Tool.Reboot.F
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP249\A0045571.exe
    [RESULTAT]  Contient le modèle de détection du programme SPR/Tool.Hardoff.A
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP267\A0050658.exe
  [0] Type d'archive: RAR SFX (self extracting)
    --> SmitfraudFix\Reboot.exe
      [RESULTAT]  Contient le modèle de détection du programme SPR/Tool.Reboot.F
    --> SmitfraudFixestart.exe
      [RESULTAT]  Contient le modèle de détection du programme SPR/Tool.Hardoff.A

Début de la désinfection :
C:\Documents and Settings\Marc\Local Settings	emp	mp82.tmp
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac0ec7f.qua' !
C:\Documents and Settings\Marc\Local Settings	emp	mp83.tmp
    [RESULTAT]  Contient le cheval de Troie TR/Alureon.BP.8
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b6a79d0.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\go[1].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aabec82.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\myport[1].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac0ec8c.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\smartsearch[1].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab1ec80.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[1].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4abfec85.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[2].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '492148de.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[3].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '492040a6.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[4].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '491f5f6e.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[5].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '491e5736.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WTERGTE7\promote[1].htm
    [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '491d2ffe.qua' !
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP249\A0045570.exe
    [RESULTAT]  Contient le modèle de détection du programme SPR/Tool.Reboot.F
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a80ec43.qua' !
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP249\A0045571.exe
    [RESULTAT]  Contient le modèle de détection du programme SPR/Tool.Hardoff.A
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49253694.qua' !
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP267\A0050658.exe
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '491899ec.qua' !


Fin de la recherche : dimanche 5 juillet 2009  20:08
Temps nécessaire:  1:27:19 Heure(s)

La recherche a été effectuée intégralement

  20030 Les répertoires ont été contrôlés
 433465 Des fichiers ont été contrôlés
     15 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
     14 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 433448 Fichiers non infectés
   3439 Les archives ont été contrôlées
      2 Avertissements
     15 Consignes
   6885 Des objets ont été contrôlés lors du Rootkitscan
      5 Des objets cachés ont été trouvés

J'ai ensuite passé ARK :

Avira AntiRootkit Tool (1.1.0.1)

========================================================================================================
 - Scan started dimanche 5 juillet 2009 - 20:11:35
========================================================================================================

--------------------------------------------------------------------------------------------------------
   Configuration:
--------------------------------------------------------------------------------------------------------
 - [X] Scan files
 - [X] Scan registry
 - [X] Scan processes
 - [ ] Fast scan
 - Working disk total size : 140.78 GB
 - Working disk free size : 84.88 GB (60 %)
--------------------------------------------------------------------------------------------------------

Results:
Hidden key : HKEY_LOCAL_MACHINE\Software\msivx
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag10.00.00.01workstation
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys -> group
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys -> group

--------------------------------------------------------------------------------------------------------
Files: 0/0
Registry items: 13/375004
Processes: 0/39
Scan time: 00:01:21
--------------------------------------------------------------------------------------------------------
Active processes:
  - uzsaakea.exe     (PID 2284) (Avira AntiRootkit Tool)
  - System           (PID 4)
  - smss.exe         (PID 552)
  - csrss.exe        (PID 600)
  - winlogon.exe     (PID 624)
  - services.exe     (PID 668)
  - lsass.exe        (PID 680)
  - nvsvc32.exe      (PID 844)
  - svchost.exe      (PID 872)
  - svchost.exe      (PID 980)
  - svchost.exe      (PID 1092)
  - svchost.exe      (PID 1184)
  - svchost.exe      (PID 1352)
  - explorer.exe     (PID 1528)
  - spoolsv.exe      (PID 1652)
  - sched.exe        (PID 1716)
  - svchost.exe      (PID 1884)
  - realsched.exe    (PID 184)
  - MaxMenuMgr.exe   (PID 208)
  - rundll32.exe     (PID 228)
  - jusched.exe      (PID 264)
  - avgnt.exe        (PID 292)
  - NMBgMonitor.exe  (PID 308)
  - btdna.exe        (PID 392)
  - ctfmon.exe       (PID 428)
  - GoogleToolbarNotifier.exe (PID 436)
  - NMIndexStoreSvr.exe (PID 544)
  - avguard.exe      (PID 1416)
  - mDNSResponder.exe (PID 1520)
  - dlcgcoms.exe     (PID 968)
  - jqs.exe          (PID 524)
  - SyncServices.exe (PID 1072)
  - svchost.exe      (PID 2536)
  - wdfmgr.exe       (PID 3464)
  - NMIndexingService.exe (PID 2236)
  - alg.exe          (PID 4068)
  - notepad.exe      (PID 1940)
  - firefox.exe      (PID 1828)
  - avirarkd.exe     (PID 2644)
========================================================================================================
 - Scan finished  dimanche 5 juillet 2009 - 20:12:57
========================================================================================================

Malwarebytes est toujours bloqué.

Redbart · Answer

très coriace ton rootkit, mais ton pc est une vrai passoire, vu le nombre de problème, revoir la protection :
ajouter parefeu et antispyware, laisse avira
il faudra également supprimer les points de restauration infectés

divers outils spécialisés  : 
http://assiste.forum.free.fr/...
https://25095680-a-62cb3a1a-s-sites.googlegroups.com/site/rootrepeal/RootRepeal.zip?attachauth=ANoY7crVG5FPHiSGIZjurfuoa_UCeSJKezuJcQIi2mRfagQDRpRVOuj9pTSfUZiYdLUDUaujXq_8Gj-zmRhosve8IxS3IJm1XPzXD-JjjfxhZg2ywAmoXA8NbctUdZQ7RalnE8pcoouEkHinqkieEa13a0jL_fbN2Wed_8vVW6iqkAi1VtpiYqO6NOtmf5NjUgdA1IYV8oeqpqi-mzDTpEqeaAtQv9ocqw%3D%3D&attredirects=2

il y a encore gmer
https://www.01net.com/outils/telecharger/windows/Utilitaire/optimiseurs_et_tests/fiches/tele33654.html

Nobuko · Answer

Alors GMER me trouve effectivement quelque chose, mais quand je clic dessus pour le supprimer ça me dit que ça risque de crasher mon système. Je poste un rapport mais le scan n'est pas encore fini.

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-06 02:45:54
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT            F7E7DE5E                                                                                               ZwCreateKey
SSDT            F7E7DE54                                                                                               ZwCreateThread
SSDT            F7E7DE63                                                                                               ZwDeleteKey
SSDT            F7E7DE6D                                                                                               ZwDeleteValueKey
SSDT            sprt.sys                                                                                               ZwEnumerateKey [0xF772DCA2]
SSDT            sprt.sys                                                                                               ZwEnumerateValueKey [0xF772E030]
SSDT            F7E7DE72                                                                                               ZwLoadKey
SSDT            sprt.sys                                                                                               ZwOpenKey [0xF770F0C0]
SSDT            F7E7DE40                                                                                               ZwOpenProcess
SSDT            F7E7DE45                                                                                               ZwOpenThread
SSDT            sprt.sys                                                                                               ZwQueryKey [0xF772E108]
SSDT            sprt.sys                                                                                               ZwQueryValueKey [0xF772DF88]
SSDT            F7E7DE7C                                                                                               ZwReplaceKey
SSDT            F7E7DE77                                                                                               ZwRestoreKey
SSDT            F7E7DE68                                                                                               ZwSetValueKey
SSDT            F7E7DE4F                                                                                               ZwTerminateProcess

INT 0x62        ?                                                                                                      867DBBF8
INT 0x73        ?                                                                                                      86595D40
INT 0x73        ?                                                                                                      86595D40
INT 0x73        ?                                                                                                      86595D40
INT 0x73        ?                                                                                                      86595D40
INT 0x73        ?                                                                                                      86595D40
INT 0x82        ?                                                                                                      867DBBF8

Code            8641E5F0                                                                                               ZwFlushInstructionCache
Code            8630EE86                                                                                               IofCallDriver
Code            86306E7E                                                                                               IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!IofCallDriver                                                                             804E37C5 5 Bytes  JMP 8630EE8B 
.text           ntoskrnl.exe!IofCompleteRequest                                                                        804E3BF6 5 Bytes  JMP 86306E83 
PAGE            ntoskrnl.exe!ZwFlushInstructionCache                                                                   80576A6A 5 Bytes  JMP 8641E5F4 
?               sprt.sys                                                                                               Le fichier spécifié est introuvable. !
.text           USBPORT.SYS!DllUnload                                                                                  F671262C 5 Bytes  JMP 86595320 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                     867DD2D8
IAT             pci.sys[ntoskrnl.exe!IoDetachDevice]                                                                   [F7740C4C] sprt.sys
IAT             pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                      [F7740CA0] sprt.sys
IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                     [F7710040] sprt.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                             [F771013C] sprt.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                    [F77100BE] sprt.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                            [F77107FC] sprt.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                    [F77106D2] sprt.sys
IAT             \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                   86595420

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                 867DA1F8
Device          \FileSystem\Fastfat \FatCdrom                                                                          8606E1F8
Device          \FileSystem\Udfs \UdfsCdRom                                                                            862EF500
Device          \FileSystem\Udfs \UdfsDisk                                                                             862EF500
Device          \Driver\sptd \Device\4105025754                                                                        sprt.sys
Device          \Driver\NetBT \Device\NetBT_Tcpip_{F98FE3DC-180B-42FB-A0F9-546ED2A2A882}                               86336500
Device          \Driver\usbuhci \Device\USBPDO-0                                                                       865911F8
Device          \Driver\usbuhci \Device\USBPDO-1                                                                       865911F8
Device          \Driver\usbuhci \Device\USBPDO-2                                                                       865911F8
Device          \Driver\usbehci \Device\USBPDO-3                                                                       8656F1F8
Device          \Driver\USBSTOR \Device\00000070                                                                       86331500
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                 8676F1F8
Device          \Driver\USBSTOR \Device\00000071                                                                       86331500
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                            867DB1F8
Device          \Driver\atapi \Device\Ide\IdePort0                                                                     867DB1F8
Device          \Driver\atapi \Device\Ide\IdePort1                                                                     867DB1F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e                                                            867DB1F8
Device          \Driver\Ftdisk \Device\HarddiskVolume6                                                                 8676F1F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                86336500
Device          \Driver\PCI_PNP7004 \Device\0000003f                                                                   sprt.sys
Device          \Driver\NetBT \Device\NetbiosSmb                                                                       86336500
Device          \Driver\usbuhci \Device\USBFDO-0                                                                       865911F8
Device          \Driver\usbuhci \Device\USBFDO-1                                                                       865911F8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                      86326500
Device          \Driver\usbuhci \Device\USBFDO-2                                                                       865911F8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                            86326500
Device          \Driver\usbehci \Device\USBFDO-3                                                                       8656F1F8
Device          \Driver\Ftdisk \Device\FtControl                                                                       8676F1F8
Device          \Driver\ady62iuw \Device\Scsi\ady62iuw1                                                                8653D500
Device          \Driver\ady62iuw \Device\Scsi\ady62iuw1Port2Path0Target0Lun0                                           8653D500
Device          \FileSystem\Fastfat \Fat                                                                               8606E1F8

AttachedDevice  \FileSystem\Fastfat \Fat                                                                               fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                                                                                 86330500

---- Services - GMER 1.0.15 ----

Service         C:\WINDOWS\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys (*** hidden *** )                [SYSTEM] MSIVXserv.sys                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys                                                   
Reg             HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys@start                                             1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys@type                                              1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys@imagepath                                         \systemroot\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys@group                                             file system
Reg             HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys\modules                                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys\modules@MSIVXserv                                 \?\globalroot\systemroot\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys\modules@MSIVXl                                    \?\globalroot\systemroot\system32\MSIVXlxwnsrpjxunefultssftnwlavmfwsdcq.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys\modules@MSIVXclk                                  \?\globalroot\systemroot\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                     771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                     285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                     1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                       
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                    C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                    0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                 0xFC 0x4F 0xBB 0x11 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001              
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0           0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh        0xB4 0x85 0xF1 0x9A ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40        
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh  0x8D 0xE6 0x72 0x09 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41        
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh  0xC7 0x5B 0x42 0x31 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys                                                       
Reg             HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys@start                                                 1
Reg             HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys@type                                                  1
Reg             HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys@imagepath                                             \systemroot\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys
Reg             HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys@group                                                 file system
Reg             HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys\modules                                               
Reg             HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys\modules@MSIVXserv                                     \?\globalroot\systemroot\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys
Reg             HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys\modules@MSIVXl                                        \?\globalroot\systemroot\system32\MSIVXlxwnsrpjxunefultssftnwlavmfwsdcq.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys\modules@MSIVXclk                                      \?\globalroot\systemroot\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                           
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                        C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                        0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                     0xFC 0x4F 0xBB 0x11 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0               0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh            0xB4 0x85 0xF1 0x9A ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40            
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh      0x8D 0xE6 0x72 0x09 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41            
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh      0xC7 0x5B 0x42 0x31 ...
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                                  
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION                   A6D74DEB7B1DE3029C31C943012D0D3FF3E4433F48AD4F3EE678180FF6AD8D278D6905D39F7947DC26C6E5DE2112A3D77D148C3486010C58D5FB9C6900EC57E6E6568647EA8D05A66EFE8349E3E18574CD762AE173409654B65611113EB12C386B9A02D3CF9EEC8C0FB03AD6EECD3C17FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A6A0AC4980AC79339DB7CE019D40AA5C9DB7CE019D40AA5C1C401216D8BE6AD6E412D480E4F95969429D85206F2B1F23390F8B0184ADB7DFC337A92E7985F502A2A2C1ED4A5B15CD3D8022C7FE46C99B0FD26E5E1CED7658A3740A95316EDD572B6EA30DEB1EF2EE901DBFE8BA94306E2FA2E1E98C8683590FAA3A540E7649FBB0846BA9042E54496F805733B20B0C0C6DA78BD7D41C13E79642A8C31E8E85AAA5A8EEE3D36840E94D6AC72C7716BCF5DF406FB176477D1B11D3A313749B84AE4352E7ADA09E5FF2644F532B1E1446C4DF7DFBD678133D1F9B2E61C5A97759EA842CF2D13397819AB1D7205F41D7CD230C247E776580F4B514D4F831D8EDBED32B961269D68D162CF561B8C67D299FD0C5AFAB994C8165B29DFDE502A24010F13B252AE4DC2E3405B6FB8BB6F5C22920B4CB1A98BF8078FC20138BB5AAA4CF65FA1F05881B1A9618BC6CEB5A4E537F7A425AC4205659B81
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs                                 
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout                     15
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota                        10000
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                                      yes
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                                     
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout                     90
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota                       10000

angelique · Answer

fait un .bat avec ton bloc note (executer---> notepad) et copie_colle le contenu du cadre ci dessous , enregistre le sous le nom turlututu.bat , type de fichier "tous les fichiers", à coté de Gmer.

[code]
gmer.exe -killall
gmer.exe -del service MSIVXserv.sys
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXlxwnsrpjxunefultssftnwlavmfwsdcq.dll
gmer.exe -del file "C:\WINDOWS\system32\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll"  
gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys"
shutdown.exe -r -t 00
[/code]

Double clic sur turlututu.bat ,ton pc devrait rebooter , sinon reset , et fait un scan MBAM au reboot

angelique · Answer

fait un .bat avec ton bloc note (executer---> notepad) et copie_colle le contenu  ci dessous , enregistre le sous le nom turlututu.bat , type de fichier "tous les fichiers", à coté de Gmer:


gmer.exe -killall
gmer.exe -del service MSIVXserv.sys
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXlxwnsrpjxunefultssftnwlavmfwsdcq.dll
gmer.exe -del file "C:\WINDOWS\system32\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll"  
gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys"
shutdown.exe -r -t 00


Double clic sur turlututu.bat ,ton pc devrait rebooter , sinon reset , et fait un scan MBAM au reboot

angelique · Answer

Fait un .bat avec ton bloc note (executer---> notepad) et copie_colle le contenu ci dessous , enregistre le sous le nom turlututu.bat , type de fichier "tous les fichiers", à coté de Gmer:


gmer.exe -killall
gmer.exe -del service MSIVXserv.sys
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXlxwnsrpjxunefultssftnwlavmfwsdcq.dll"
gmer.exe -del file "C:\WINDOWS\system32\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll"
gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys"
shutdown.exe -r -t 00


Double clic sur turlututu.bat ,ton pc devrait rebooter , sinon reset , et fait un scan MBAM au reboot

c'est le bon celui là lol.oublie de "

Nobuko · Answer

J'espère que c'est bien le dernier qu'il fallait que j'utilise ? XD

Je suis en train de scanner avec Malwarebytes mais je n'ai pas réussi à le mettre à jour. J'ai eu un message d'erreur.

En tout cas, je te remercie de ton aide jusqu'à présent. ^^

Nobuko · Answer

Voilà, malwarebytes à fini son scan et m'a viré plein de saloperies genre trojan. A présent, ma mise à jour se fait normalement.

Je poste le rapport (même si tu ne me l'a pas demandé, je préfère le faire au cas où) :

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2329
Windows 5.1.2600 Service Pack 2

06/07/2009 17:53:11
mbam-log-2009-07-06 (17-53-06).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 206486
Temps écoulé: 1 hour(s), 47 minute(s), 15 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 6
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{f98fe3dc-180b-42fb-a0f9-546ed2a2a882}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{f98fe3dc-180b-42fb-a0f9-546ed2a2a882}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{f98fe3dc-180b-42fb-a0f9-546ed2a2a882}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\system volume information\_restore{a1fdd6d2-46cb-4d0b-bf14-2ad74a81810d}\RP215\A0037564.exe (Spyware.Agent) -> No action taken.
c:\system volume information\_restore{a1fdd6d2-46cb-4d0b-bf14-2ad74a81810d}\RP217\A0039095.exe (Spyware.Agent) -> No action taken.
c:\system volume information\_restore{a1fdd6d2-46cb-4d0b-bf14-2ad74a81810d}\RP248\A0045198.exe (Adware.RelevantKnowledge) -> No action taken.
c:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\Temp	empo-6366531.tmp (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\system32\MSIVXcount (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll (Trojan.Agent) -> No action taken.


Pour les "No action taken", c'est juste parce que j'ai enregistré le rapport avant suppression des trojan et spyware.

Et je te remercie encore pour ton aide ! ^^

Redbart · Answer

merci angelique, super boulot!

à nobuko : n'oublie pas de supprimer tes points de restauration, qui sont infectés et pas seulement par le rootkit 
Faire un clic droit sur Poste de travail :
Choisir dans le menu contextuel Propriétés (en bas) 
Aller dans l'onglet Restauration du système 
Se positionner individuellement sur chaque disque dur puis 
Cliquer sur Paramètres 
Cocher "Désactiver la Restauration du système sur ce lecteur" 
Valider.
redémarrer
Décocher "Désactiver la Restauration du système sur ce lecteur"

Nobuko · Answer

Voilà c'est fait !
J'avais aussi passé Ccleaner pour un petit nettoyage supplémentaires.

Donc maintenant c'est bon je suppose ?

Merci infiniement pour ton aide en tout cas. ^^

Redbart · Answer

Donc maintenant c'est bon je suppose ? 
ben, pour t'éviter ces désagréments, faut aller au bout, donc:
qu'as tu en pare feu et antispyware?
mets à jour ton pc : sp 3 + IE7  et autres logiciels 
j'aime pas IE8 (trop de liaison vers des sites commerciaux), ni ccleaner

Nobuko · Answer

J'utilise jamais IE, je prend toujours Firefox.

Quand au SP3 on m'a dit que ça bloquait Firefox et linux (je suis en dual boot windows - opensuse), donc j'hésite.

En antispyware j'ai malwarebytes. En antivirus j'ai Avira Antivir.

En parefeux j'ai celui de windows. J'ai jamais réussi à paramètrer un pare feu, à chaque fois ça me bloquait ma connection et je n'y comprend rien en plus.

Et qui y'a t'il d'autres que Ccleaner alors ? ^^

Redbart · Answer

je vois, ton cas est désespéré 

J'utilise jamais IE, je prend toujours Firefox. : le plus sûr des navigateurs qui a laissé passer un rootkit du tonnerre

En antispyware j'ai malwarebytes : un spyware n'est pas un malware .- donc  malwarebytes bien que très efficace, n'est pas adapté;  spybot l'est

En antivirus j'ai Avira Antivir : parfait si bien configuré

En parefeux j'ai celui de windows. J'ai jamais réussi à paramètrer un pare feu, à chaque fois ça me bloquait ma connection et je n'y comprend rien en plus : le parefeu de win est le minimum, Zonealarm
 fait mieux

Et qui y'a t'il d'autres que Ccleaner alors  : ne protège contre rien, ce n'est qu'un balayeur, tellement efficace qu'un jour ton pc va ramer parce cC a viré des parties de logiciels où de registre (ça m'est arrivé à 2 reprises)

les logiciels proposés sont gratuits, téléchargeables sur 01.net et des tutos sont mis à dispos par des gens ou sites
sympas

bien sûr, j'en ai essayé d'autres : superantispyware, kerio, norton, spyblaster, armoronline,comodo pro, mais à l'usage, j'ai gardé ces trois

pc tools me semble prometteur

Nobuko · Answer

D'accord, merci pour ton aide ! ^^