Rootkit sur mon pc
Fermé
Nobuko
Messages postés
34
Date d'inscription
mardi 27 janvier 2009
Statut
Membre
Dernière intervention
7 juillet 2009
-
5 juil. 2009 à 13:37
Nobuko Messages postés 34 Date d'inscription mardi 27 janvier 2009 Statut Membre Dernière intervention 7 juillet 2009 - 7 juil. 2009 à 21:08
Nobuko Messages postés 34 Date d'inscription mardi 27 janvier 2009 Statut Membre Dernière intervention 7 juillet 2009 - 7 juil. 2009 à 21:08
A voir également:
- Rootkit sur mon pc
- Test performance pc - Guide
- Mon pc est lent - Guide
- Plus de son sur mon pc - Guide
- Reinitialiser pc - Guide
- Télécharger musique gratuitement sur pc - Télécharger - Conversion & Extraction
26 réponses
Redbart
Messages postés
21380
Date d'inscription
dimanche 16 décembre 2007
Statut
Membre
Dernière intervention
12 mars 2025
3 260
5 juil. 2009 à 14:04
5 juil. 2009 à 14:04
Bjr
oui, il existe des logiciels efficaces:
https://www.myantispyware.com/2009/06/24/how-to-remove-msivxservsys-trojan-google-redirect-virus/
efface ou supprime avec avira
nota : ce n'est pas une invitation à utiliser "myantispyware" ou "quad_cleaner"
mais les infos données sur le site semblent sérieux
oui, il existe des logiciels efficaces:
https://www.myantispyware.com/2009/06/24/how-to-remove-msivxservsys-trojan-google-redirect-virus/
efface ou supprime avec avira
nota : ce n'est pas une invitation à utiliser "myantispyware" ou "quad_cleaner"
mais les infos données sur le site semblent sérieux
Nobuko
Messages postés
34
Date d'inscription
mardi 27 janvier 2009
Statut
Membre
Dernière intervention
7 juillet 2009
5 juil. 2009 à 14:13
5 juil. 2009 à 14:13
En fait ce que je désirais savoir c'était si mon pc était bel et bien infecté par un rootkit et si oui, comment m'en débarasser ?
J'ai oublié de préciser que j'ai déjà Malwarebytes mais que depuis aujourd'hui, il refuse de s'ouvrir. Je pense que c'est peut-être dus à un virus quelconque.
J'ai oublié de préciser que j'ai déjà Malwarebytes mais que depuis aujourd'hui, il refuse de s'ouvrir. Je pense que c'est peut-être dus à un virus quelconque.
Redbart
Messages postés
21380
Date d'inscription
dimanche 16 décembre 2007
Statut
Membre
Dernière intervention
12 mars 2025
3 260
5 juil. 2009 à 14:18
5 juil. 2009 à 14:18
in fact, je pense que tu ne suis pas le lien qu'on je propose où tu ne lis pas un peu d'anglais, isn'it?
Nobuko
Messages postés
34
Date d'inscription
mardi 27 janvier 2009
Statut
Membre
Dernière intervention
7 juillet 2009
5 juil. 2009 à 14:23
5 juil. 2009 à 14:23
Non désolé, je ne lis pas du tout l'anglais et je n'ai pas trop compris ton lien en fait.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Redbart
Messages postés
21380
Date d'inscription
dimanche 16 décembre 2007
Statut
Membre
Dernière intervention
12 mars 2025
3 260
5 juil. 2009 à 14:37
5 juil. 2009 à 14:37
en gros le site explique :
MSIVXserv.sys trojan is a new hidden trojan/rootkit from DNSChanger trojan family. The trojan uses rootkit-specific techniques designed to hide the software presence in the system. Once infected it blocks user access to security websites, blocks Spybot, AdAware, AVG, Superantispyware and Malwarebytes Anti-malware. Search results in Google, Yahoo, MSN and other redirects you to other non related sites.
Also msivxserv.sys trojan changes the DNS server options to the following fixed IPs: 85.255.112.95, 85.255.112.171, 85.255.112.204, 85.255.112.90
voici la traduction (+-approximative) obtenu en 0,1 sec sur google "outils linguistiques" :
MSIVXserv.sys un nouveau cheval de Troie est caché trojan / rootkit de DNSChanger trojan famille. Le trojan rootkit utilise des techniques spécifiques visant à cacher la présence de logiciels dans le système. Une fois infecté, il bloque l'accès des utilisateurs à la sécurité des sites Web, des blocs, Spybot, AdAware, AVG, SUPERAntiSpyware et Malwarebytes anti-malware. Résultats de la recherche dans Google, Yahoo, MSN et autres, vous redirige vers d'autres sites non liés.
Aussi msivxserv.sys cheval de Troie modifie le serveur DNS des options à la suite fixe IP: 85.255.112.95, 85.255.112.171, 85.255.112.204, 85.255.112.90
comprends tu pourquoi malwarbytes ne s'ouvre pas?
MSIVXserv.sys trojan is a new hidden trojan/rootkit from DNSChanger trojan family. The trojan uses rootkit-specific techniques designed to hide the software presence in the system. Once infected it blocks user access to security websites, blocks Spybot, AdAware, AVG, Superantispyware and Malwarebytes Anti-malware. Search results in Google, Yahoo, MSN and other redirects you to other non related sites.
Also msivxserv.sys trojan changes the DNS server options to the following fixed IPs: 85.255.112.95, 85.255.112.171, 85.255.112.204, 85.255.112.90
voici la traduction (+-approximative) obtenu en 0,1 sec sur google "outils linguistiques" :
MSIVXserv.sys un nouveau cheval de Troie est caché trojan / rootkit de DNSChanger trojan famille. Le trojan rootkit utilise des techniques spécifiques visant à cacher la présence de logiciels dans le système. Une fois infecté, il bloque l'accès des utilisateurs à la sécurité des sites Web, des blocs, Spybot, AdAware, AVG, SUPERAntiSpyware et Malwarebytes anti-malware. Résultats de la recherche dans Google, Yahoo, MSN et autres, vous redirige vers d'autres sites non liés.
Aussi msivxserv.sys cheval de Troie modifie le serveur DNS des options à la suite fixe IP: 85.255.112.95, 85.255.112.171, 85.255.112.204, 85.255.112.90
comprends tu pourquoi malwarbytes ne s'ouvre pas?
Nobuko
Messages postés
34
Date d'inscription
mardi 27 janvier 2009
Statut
Membre
Dernière intervention
7 juillet 2009
5 juil. 2009 à 14:53
5 juil. 2009 à 14:53
D'accord, et comment je fais pour me débarasser de cette saloperie de rootkit alors ?
Redbart
Messages postés
21380
Date d'inscription
dimanche 16 décembre 2007
Statut
Membre
Dernière intervention
12 mars 2025
3 260
5 juil. 2009 à 15:44
5 juil. 2009 à 15:44
Avira AntiRootkit Tool n'a pas de fonction de suppression?
je ne connais le logiciel, mais pas ses fonctions
j'utilise avira antivir qui intègre la fonction anti root kit
je ne connais le logiciel, mais pas ses fonctions
j'utilise avira antivir qui intègre la fonction anti root kit
Nobuko
Messages postés
34
Date d'inscription
mardi 27 janvier 2009
Statut
Membre
Dernière intervention
7 juillet 2009
5 juil. 2009 à 15:55
5 juil. 2009 à 15:55
Non, il n'a pas de fonction de suppression.
Avira Antivir devrait me l'enlever sinon ?
Avira Antivir devrait me l'enlever sinon ?
Redbart
Messages postés
21380
Date d'inscription
dimanche 16 décembre 2007
Statut
Membre
Dernière intervention
12 mars 2025
3 260
5 juil. 2009 à 16:04
5 juil. 2009 à 16:04
Ok vu, non il n'a pas de fonction de suppression et en plus il ne detecte que dans les programmes actifs dans cette version gratuite
oui avira antivir fait le boulot, fait un nettoyage complet puis vérifie avec ARK
oui avira antivir fait le boulot, fait un nettoyage complet puis vérifie avec ARK
Nobuko
Messages postés
34
Date d'inscription
mardi 27 janvier 2009
Statut
Membre
Dernière intervention
7 juillet 2009
5 juil. 2009 à 16:08
5 juil. 2009 à 16:08
Heu... c'est quoi ARK ?
Redbart
Messages postés
21380
Date d'inscription
dimanche 16 décembre 2007
Statut
Membre
Dernière intervention
12 mars 2025
3 260
5 juil. 2009 à 16:09
5 juil. 2009 à 16:09
Avira AntiRootKit Tool
désolé, c'est mon esprit germanique qui à pris le dessus par Wotan
désolé, c'est mon esprit germanique qui à pris le dessus par Wotan
Nobuko
Messages postés
34
Date d'inscription
mardi 27 janvier 2009
Statut
Membre
Dernière intervention
7 juillet 2009
5 juil. 2009 à 16:14
5 juil. 2009 à 16:14
Ah ok, j'aurai dus savoir. XD
Ok merci, je vais faire comme ça et je te tiens au courant.
En tout cas visiblement, cette saloperie ne me bloque que Malwarebytes, ainsi que des logs genre MSNFix ou HijackThis (j'ai tenté des scans avec ces deux logs mais aucun n'a voulut se lancer).
Ok merci, je vais faire comme ça et je te tiens au courant.
En tout cas visiblement, cette saloperie ne me bloque que Malwarebytes, ainsi que des logs genre MSNFix ou HijackThis (j'ai tenté des scans avec ces deux logs mais aucun n'a voulut se lancer).
Nobuko
Messages postés
34
Date d'inscription
mardi 27 janvier 2009
Statut
Membre
Dernière intervention
7 juillet 2009
5 juil. 2009 à 20:13
5 juil. 2009 à 20:13
Bon, j'ai passé Antivir Avira et voilà le rapport :
Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 5 juillet 2009 18:33
La recherche porte sur 1447559 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : GAGNEUX-92ECF64
Informations de version :
BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 15:27:19
ANTIVIR2.VDF : 7.1.4.173 306688 Bytes 02/07/2009 18:38:16
ANTIVIR3.VDF : 7.1.4.181 41472 Bytes 05/07/2009 16:32:39
Version du moteur : 8.2.0.204
AEVDF.DLL : 8.1.1.1 106868 Bytes 17/06/2009 13:35:00
AESCRIPT.DLL : 8.1.2.13 426362 Bytes 02/07/2009 18:38:18
AESCN.DLL : 8.1.2.3 127347 Bytes 17/06/2009 13:35:00
AERDL.DLL : 8.1.2.2 438642 Bytes 02/07/2009 18:38:18
AEPACK.DLL : 8.1.3.18 401783 Bytes 17/06/2009 13:34:59
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18/06/2009 13:45:59
AEHEUR.DLL : 8.1.0.137 1823095 Bytes 27/06/2009 18:38:14
AEHELP.DLL : 8.1.3.6 205174 Bytes 17/06/2009 13:34:56
AEGEN.DLL : 8.1.1.48 348532 Bytes 02/07/2009 18:38:17
AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40
AECORE.DLL : 8.1.6.12 180599 Bytes 17/06/2009 13:34:56
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 12:49:32
RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, G:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +SPR,
Début de la recherche : dimanche 5 juillet 2009 18:33
La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\modules
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\imagepath
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\group
[INFO] L'entrée d'enregistrement n'est pas visible.
'6885' objets ont été contrôlés, '5' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMIndexingService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SyncServices.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dlcgcoms.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMIndexStoreSvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'btdna.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMBgMonitor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MaxMenuMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'35' processus ont été contrôlés avec '35' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'G:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '52' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Marc\Local Settings\temp\tmp82.tmp
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
C:\Documents and Settings\Marc\Local Settings\temp\tmp83.tmp
[RESULTAT] Contient le cheval de Troie TR/Alureon.BP.8
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\go[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\myport[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\smartsearch[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[2].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[3].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[4].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[5].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WTERGTE7\promote[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'G:\' <OneTouch 4>
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP249\A0045570.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP249\A0045571.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP267\A0050658.exe
[0] Type d'archive: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
--> SmitfraudFix\restart.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
Début de la désinfection :
C:\Documents and Settings\Marc\Local Settings\temp\tmp82.tmp
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac0ec7f.qua' !
C:\Documents and Settings\Marc\Local Settings\temp\tmp83.tmp
[RESULTAT] Contient le cheval de Troie TR/Alureon.BP.8
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b6a79d0.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\go[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aabec82.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\myport[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac0ec8c.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\smartsearch[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab1ec80.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4abfec85.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[2].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '492148de.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[3].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '492040a6.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[4].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '491f5f6e.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[5].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '491e5736.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WTERGTE7\promote[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '491d2ffe.qua' !
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP249\A0045570.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a80ec43.qua' !
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP249\A0045571.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49253694.qua' !
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP267\A0050658.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '491899ec.qua' !
Fin de la recherche : dimanche 5 juillet 2009 20:08
Temps nécessaire: 1:27:19 Heure(s)
La recherche a été effectuée intégralement
20030 Les répertoires ont été contrôlés
433465 Des fichiers ont été contrôlés
15 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
14 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
433448 Fichiers non infectés
3439 Les archives ont été contrôlées
2 Avertissements
15 Consignes
6885 Des objets ont été contrôlés lors du Rootkitscan
5 Des objets cachés ont été trouvés
J'ai ensuite passé ARK :
Avira AntiRootkit Tool (1.1.0.1)
========================================================================================================
- Scan started dimanche 5 juillet 2009 - 20:11:35
========================================================================================================
--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 140.78 GB
- Working disk free size : 84.88 GB (60 %)
--------------------------------------------------------------------------------------------------------
Results:
Hidden key : HKEY_LOCAL_MACHINE\Software\msivx
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag10.00.00.01workstation
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys -> group
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys -> group
--------------------------------------------------------------------------------------------------------
Files: 0/0
Registry items: 13/375004
Processes: 0/39
Scan time: 00:01:21
--------------------------------------------------------------------------------------------------------
Active processes:
- uzsaakea.exe (PID 2284) (Avira AntiRootkit Tool)
- System (PID 4)
- smss.exe (PID 552)
- csrss.exe (PID 600)
- winlogon.exe (PID 624)
- services.exe (PID 668)
- lsass.exe (PID 680)
- nvsvc32.exe (PID 844)
- svchost.exe (PID 872)
- svchost.exe (PID 980)
- svchost.exe (PID 1092)
- svchost.exe (PID 1184)
- svchost.exe (PID 1352)
- explorer.exe (PID 1528)
- spoolsv.exe (PID 1652)
- sched.exe (PID 1716)
- svchost.exe (PID 1884)
- realsched.exe (PID 184)
- MaxMenuMgr.exe (PID 208)
- rundll32.exe (PID 228)
- jusched.exe (PID 264)
- avgnt.exe (PID 292)
- NMBgMonitor.exe (PID 308)
- btdna.exe (PID 392)
- ctfmon.exe (PID 428)
- GoogleToolbarNotifier.exe (PID 436)
- NMIndexStoreSvr.exe (PID 544)
- avguard.exe (PID 1416)
- mDNSResponder.exe (PID 1520)
- dlcgcoms.exe (PID 968)
- jqs.exe (PID 524)
- SyncServices.exe (PID 1072)
- svchost.exe (PID 2536)
- wdfmgr.exe (PID 3464)
- NMIndexingService.exe (PID 2236)
- alg.exe (PID 4068)
- notepad.exe (PID 1940)
- firefox.exe (PID 1828)
- avirarkd.exe (PID 2644)
========================================================================================================
- Scan finished dimanche 5 juillet 2009 - 20:12:57
========================================================================================================
Malwarebytes est toujours bloqué.
Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 5 juillet 2009 18:33
La recherche porte sur 1447559 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : GAGNEUX-92ECF64
Informations de version :
BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 15:27:19
ANTIVIR2.VDF : 7.1.4.173 306688 Bytes 02/07/2009 18:38:16
ANTIVIR3.VDF : 7.1.4.181 41472 Bytes 05/07/2009 16:32:39
Version du moteur : 8.2.0.204
AEVDF.DLL : 8.1.1.1 106868 Bytes 17/06/2009 13:35:00
AESCRIPT.DLL : 8.1.2.13 426362 Bytes 02/07/2009 18:38:18
AESCN.DLL : 8.1.2.3 127347 Bytes 17/06/2009 13:35:00
AERDL.DLL : 8.1.2.2 438642 Bytes 02/07/2009 18:38:18
AEPACK.DLL : 8.1.3.18 401783 Bytes 17/06/2009 13:34:59
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18/06/2009 13:45:59
AEHEUR.DLL : 8.1.0.137 1823095 Bytes 27/06/2009 18:38:14
AEHELP.DLL : 8.1.3.6 205174 Bytes 17/06/2009 13:34:56
AEGEN.DLL : 8.1.1.48 348532 Bytes 02/07/2009 18:38:17
AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40
AECORE.DLL : 8.1.6.12 180599 Bytes 17/06/2009 13:34:56
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 12:49:32
RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, G:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +SPR,
Début de la recherche : dimanche 5 juillet 2009 18:33
La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\modules
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\imagepath
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\group
[INFO] L'entrée d'enregistrement n'est pas visible.
'6885' objets ont été contrôlés, '5' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMIndexingService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SyncServices.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dlcgcoms.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMIndexStoreSvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'btdna.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMBgMonitor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MaxMenuMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'35' processus ont été contrôlés avec '35' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'G:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '52' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Marc\Local Settings\temp\tmp82.tmp
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
C:\Documents and Settings\Marc\Local Settings\temp\tmp83.tmp
[RESULTAT] Contient le cheval de Troie TR/Alureon.BP.8
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\go[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\myport[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\smartsearch[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[2].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[3].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[4].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[5].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WTERGTE7\promote[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'G:\' <OneTouch 4>
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP249\A0045570.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP249\A0045571.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP267\A0050658.exe
[0] Type d'archive: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
--> SmitfraudFix\restart.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
Début de la désinfection :
C:\Documents and Settings\Marc\Local Settings\temp\tmp82.tmp
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac0ec7f.qua' !
C:\Documents and Settings\Marc\Local Settings\temp\tmp83.tmp
[RESULTAT] Contient le cheval de Troie TR/Alureon.BP.8
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b6a79d0.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\go[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aabec82.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\myport[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac0ec8c.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4DMRKDM3\smartsearch[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab1ec80.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4abfec85.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[2].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '492148de.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[3].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '492040a6.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[4].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '491f5f6e.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9YBGDA3\promote[5].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '491e5736.qua' !
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WTERGTE7\promote[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '491d2ffe.qua' !
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP249\A0045570.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a80ec43.qua' !
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP249\A0045571.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49253694.qua' !
G:\System Volume Information\_restore{A1FDD6D2-46CB-4D0B-BF14-2AD74A81810D}\RP267\A0050658.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '491899ec.qua' !
Fin de la recherche : dimanche 5 juillet 2009 20:08
Temps nécessaire: 1:27:19 Heure(s)
La recherche a été effectuée intégralement
20030 Les répertoires ont été contrôlés
433465 Des fichiers ont été contrôlés
15 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
14 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
433448 Fichiers non infectés
3439 Les archives ont été contrôlées
2 Avertissements
15 Consignes
6885 Des objets ont été contrôlés lors du Rootkitscan
5 Des objets cachés ont été trouvés
J'ai ensuite passé ARK :
Avira AntiRootkit Tool (1.1.0.1)
========================================================================================================
- Scan started dimanche 5 juillet 2009 - 20:11:35
========================================================================================================
--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 140.78 GB
- Working disk free size : 84.88 GB (60 %)
--------------------------------------------------------------------------------------------------------
Results:
Hidden key : HKEY_LOCAL_MACHINE\Software\msivx
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag10.00.00.01workstation
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIVXserv.sys -> group
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MSIVXserv.sys -> group
--------------------------------------------------------------------------------------------------------
Files: 0/0
Registry items: 13/375004
Processes: 0/39
Scan time: 00:01:21
--------------------------------------------------------------------------------------------------------
Active processes:
- uzsaakea.exe (PID 2284) (Avira AntiRootkit Tool)
- System (PID 4)
- smss.exe (PID 552)
- csrss.exe (PID 600)
- winlogon.exe (PID 624)
- services.exe (PID 668)
- lsass.exe (PID 680)
- nvsvc32.exe (PID 844)
- svchost.exe (PID 872)
- svchost.exe (PID 980)
- svchost.exe (PID 1092)
- svchost.exe (PID 1184)
- svchost.exe (PID 1352)
- explorer.exe (PID 1528)
- spoolsv.exe (PID 1652)
- sched.exe (PID 1716)
- svchost.exe (PID 1884)
- realsched.exe (PID 184)
- MaxMenuMgr.exe (PID 208)
- rundll32.exe (PID 228)
- jusched.exe (PID 264)
- avgnt.exe (PID 292)
- NMBgMonitor.exe (PID 308)
- btdna.exe (PID 392)
- ctfmon.exe (PID 428)
- GoogleToolbarNotifier.exe (PID 436)
- NMIndexStoreSvr.exe (PID 544)
- avguard.exe (PID 1416)
- mDNSResponder.exe (PID 1520)
- dlcgcoms.exe (PID 968)
- jqs.exe (PID 524)
- SyncServices.exe (PID 1072)
- svchost.exe (PID 2536)
- wdfmgr.exe (PID 3464)
- NMIndexingService.exe (PID 2236)
- alg.exe (PID 4068)
- notepad.exe (PID 1940)
- firefox.exe (PID 1828)
- avirarkd.exe (PID 2644)
========================================================================================================
- Scan finished dimanche 5 juillet 2009 - 20:12:57
========================================================================================================
Malwarebytes est toujours bloqué.
Redbart
Messages postés
21380
Date d'inscription
dimanche 16 décembre 2007
Statut
Membre
Dernière intervention
12 mars 2025
3 260
5 juil. 2009 à 23:32
5 juil. 2009 à 23:32
très coriace ton rootkit, mais ton pc est une vrai passoire, vu le nombre de problème, revoir la protection :
ajouter parefeu et antispyware, laisse avira
il faudra également supprimer les points de restauration infectés
divers outils spécialisés :
http://assiste.forum.free.fr/...
https://25095680-a-62cb3a1a-s-sites.googlegroups.com/site/rootrepeal/RootRepeal.zip?attachauth=ANoY7crVG5FPHiSGIZjurfuoa_UCeSJKezuJcQIi2mRfagQDRpRVOuj9pTSfUZiYdLUDUaujXq_8Gj-zmRhosve8IxS3IJm1XPzXD-JjjfxhZg2ywAmoXA8NbctUdZQ7RalnE8pcoouEkHinqkieEa13a0jL_fbN2Wed_8vVW6iqkAi1VtpiYqO6NOtmf5NjUgdA1IYV8oeqpqi-mzDTpEqeaAtQv9ocqw%3D%3D&attredirects=2
il y a encore gmer
https://www.01net.com/outils/telecharger/windows/Utilitaire/optimiseurs_et_tests/fiches/tele33654.html
ajouter parefeu et antispyware, laisse avira
il faudra également supprimer les points de restauration infectés
divers outils spécialisés :
http://assiste.forum.free.fr/...
https://25095680-a-62cb3a1a-s-sites.googlegroups.com/site/rootrepeal/RootRepeal.zip?attachauth=ANoY7crVG5FPHiSGIZjurfuoa_UCeSJKezuJcQIi2mRfagQDRpRVOuj9pTSfUZiYdLUDUaujXq_8Gj-zmRhosve8IxS3IJm1XPzXD-JjjfxhZg2ywAmoXA8NbctUdZQ7RalnE8pcoouEkHinqkieEa13a0jL_fbN2Wed_8vVW6iqkAi1VtpiYqO6NOtmf5NjUgdA1IYV8oeqpqi-mzDTpEqeaAtQv9ocqw%3D%3D&attredirects=2
il y a encore gmer
https://www.01net.com/outils/telecharger/windows/Utilitaire/optimiseurs_et_tests/fiches/tele33654.html
Nobuko
Messages postés
34
Date d'inscription
mardi 27 janvier 2009
Statut
Membre
Dernière intervention
7 juillet 2009
6 juil. 2009 à 02:50
6 juil. 2009 à 02:50
Alors GMER me trouve effectivement quelque chose, mais quand je clic dessus pour le supprimer ça me dit que ça risque de crasher mon système. Je poste un rapport mais le scan n'est pas encore fini.
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-06 02:45:54
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT F7E7DE5E ZwCreateKey
SSDT F7E7DE54 ZwCreateThread
SSDT F7E7DE63 ZwDeleteKey
SSDT F7E7DE6D ZwDeleteValueKey
SSDT sprt.sys ZwEnumerateKey [0xF772DCA2]
SSDT sprt.sys ZwEnumerateValueKey [0xF772E030]
SSDT F7E7DE72 ZwLoadKey
SSDT sprt.sys ZwOpenKey [0xF770F0C0]
SSDT F7E7DE40 ZwOpenProcess
SSDT F7E7DE45 ZwOpenThread
SSDT sprt.sys ZwQueryKey [0xF772E108]
SSDT sprt.sys ZwQueryValueKey [0xF772DF88]
SSDT F7E7DE7C ZwReplaceKey
SSDT F7E7DE77 ZwRestoreKey
SSDT F7E7DE68 ZwSetValueKey
SSDT F7E7DE4F ZwTerminateProcess
INT 0x62 ? 867DBBF8
INT 0x73 ? 86595D40
INT 0x73 ? 86595D40
INT 0x73 ? 86595D40
INT 0x73 ? 86595D40
INT 0x73 ? 86595D40
INT 0x82 ? 867DBBF8
Code 8641E5F0 ZwFlushInstructionCache
Code 8630EE86 IofCallDriver
Code 86306E7E IofCompleteRequest
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 8630EE8B
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 86306E83
PAGE ntoskrnl.exe!ZwFlushInstructionCache 80576A6A 5 Bytes JMP 8641E5F4
? sprt.sys Le fichier spécifié est introuvable. !
.text USBPORT.SYS!DllUnload F671262C 5 Bytes JMP 86595320
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 867DD2D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7740C4C] sprt.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7740CA0] sprt.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7710040] sprt.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F771013C] sprt.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F77100BE] sprt.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F77107FC] sprt.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F77106D2] sprt.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 86595420
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 867DA1F8
Device \FileSystem\Fastfat \FatCdrom 8606E1F8
Device \FileSystem\Udfs \UdfsCdRom 862EF500
Device \FileSystem\Udfs \UdfsDisk 862EF500
Device \Driver\sptd \Device\4105025754 sprt.sys
Device \Driver\NetBT \Device\NetBT_Tcpip_{F98FE3DC-180B-42FB-A0F9-546ED2A2A882} 86336500
Device \Driver\usbuhci \Device\USBPDO-0 865911F8
Device \Driver\usbuhci \Device\USBPDO-1 865911F8
Device \Driver\usbuhci \Device\USBPDO-2 865911F8
Device \Driver\usbehci \Device\USBPDO-3 8656F1F8
Device \Driver\USBSTOR \Device\00000070 86331500
Device \Driver\Ftdisk \Device\HarddiskVolume1 8676F1F8
Device \Driver\USBSTOR \Device\00000071 86331500
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 867DB1F8
Device \Driver\atapi \Device\Ide\IdePort0 867DB1F8
Device \Driver\atapi \Device\Ide\IdePort1 867DB1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 867DB1F8
Device \Driver\Ftdisk \Device\HarddiskVolume6 8676F1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 86336500
Device \Driver\PCI_PNP7004 \Device\0000003f sprt.sys
Device \Driver\NetBT \Device\NetbiosSmb 86336500
Device \Driver\usbuhci \Device\USBFDO-0 865911F8
Device \Driver\usbuhci \Device\USBFDO-1 865911F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86326500
Device \Driver\usbuhci \Device\USBFDO-2 865911F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86326500
Device \Driver\usbehci \Device\USBFDO-3 8656F1F8
Device \Driver\Ftdisk \Device\FtControl 8676F1F8
Device \Driver\ady62iuw \Device\Scsi\ady62iuw1 8653D500
Device \Driver\ady62iuw \Device\Scsi\ady62iuw1Port2Path0Target0Lun0 8653D500
Device \FileSystem\Fastfat \Fat 8606E1F8
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs 86330500
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys (*** hidden *** ) [SYSTEM] MSIVXserv.sys <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys@imagepath \systemroot\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys\modules@MSIVXserv \\?\globalroot\systemroot\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys\modules@MSIVXl \\?\globalroot\systemroot\system32\MSIVXlxwnsrpjxunefultssftnwlavmfwsdcq.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys\modules@MSIVXclk \\?\globalroot\systemroot\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xFC 0x4F 0xBB 0x11 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB4 0x85 0xF1 0x9A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8D 0xE6 0x72 0x09 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xC7 0x5B 0x42 0x31 ...
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys@imagepath \systemroot\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys\modules@MSIVXserv \\?\globalroot\systemroot\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys\modules@MSIVXl \\?\globalroot\systemroot\system32\MSIVXlxwnsrpjxunefultssftnwlavmfwsdcq.dll
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys\modules@MSIVXclk \\?\globalroot\systemroot\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xFC 0x4F 0xBB 0x11 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB4 0x85 0xF1 0x9A ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8D 0xE6 0x72 0x09 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xC7 0x5B 0x42 0x31 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION 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
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-06 02:45:54
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT F7E7DE5E ZwCreateKey
SSDT F7E7DE54 ZwCreateThread
SSDT F7E7DE63 ZwDeleteKey
SSDT F7E7DE6D ZwDeleteValueKey
SSDT sprt.sys ZwEnumerateKey [0xF772DCA2]
SSDT sprt.sys ZwEnumerateValueKey [0xF772E030]
SSDT F7E7DE72 ZwLoadKey
SSDT sprt.sys ZwOpenKey [0xF770F0C0]
SSDT F7E7DE40 ZwOpenProcess
SSDT F7E7DE45 ZwOpenThread
SSDT sprt.sys ZwQueryKey [0xF772E108]
SSDT sprt.sys ZwQueryValueKey [0xF772DF88]
SSDT F7E7DE7C ZwReplaceKey
SSDT F7E7DE77 ZwRestoreKey
SSDT F7E7DE68 ZwSetValueKey
SSDT F7E7DE4F ZwTerminateProcess
INT 0x62 ? 867DBBF8
INT 0x73 ? 86595D40
INT 0x73 ? 86595D40
INT 0x73 ? 86595D40
INT 0x73 ? 86595D40
INT 0x73 ? 86595D40
INT 0x82 ? 867DBBF8
Code 8641E5F0 ZwFlushInstructionCache
Code 8630EE86 IofCallDriver
Code 86306E7E IofCompleteRequest
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 8630EE8B
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 86306E83
PAGE ntoskrnl.exe!ZwFlushInstructionCache 80576A6A 5 Bytes JMP 8641E5F4
? sprt.sys Le fichier spécifié est introuvable. !
.text USBPORT.SYS!DllUnload F671262C 5 Bytes JMP 86595320
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 867DD2D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7740C4C] sprt.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7740CA0] sprt.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7710040] sprt.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F771013C] sprt.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F77100BE] sprt.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F77107FC] sprt.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F77106D2] sprt.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 86595420
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 867DA1F8
Device \FileSystem\Fastfat \FatCdrom 8606E1F8
Device \FileSystem\Udfs \UdfsCdRom 862EF500
Device \FileSystem\Udfs \UdfsDisk 862EF500
Device \Driver\sptd \Device\4105025754 sprt.sys
Device \Driver\NetBT \Device\NetBT_Tcpip_{F98FE3DC-180B-42FB-A0F9-546ED2A2A882} 86336500
Device \Driver\usbuhci \Device\USBPDO-0 865911F8
Device \Driver\usbuhci \Device\USBPDO-1 865911F8
Device \Driver\usbuhci \Device\USBPDO-2 865911F8
Device \Driver\usbehci \Device\USBPDO-3 8656F1F8
Device \Driver\USBSTOR \Device\00000070 86331500
Device \Driver\Ftdisk \Device\HarddiskVolume1 8676F1F8
Device \Driver\USBSTOR \Device\00000071 86331500
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 867DB1F8
Device \Driver\atapi \Device\Ide\IdePort0 867DB1F8
Device \Driver\atapi \Device\Ide\IdePort1 867DB1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 867DB1F8
Device \Driver\Ftdisk \Device\HarddiskVolume6 8676F1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 86336500
Device \Driver\PCI_PNP7004 \Device\0000003f sprt.sys
Device \Driver\NetBT \Device\NetbiosSmb 86336500
Device \Driver\usbuhci \Device\USBFDO-0 865911F8
Device \Driver\usbuhci \Device\USBFDO-1 865911F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86326500
Device \Driver\usbuhci \Device\USBFDO-2 865911F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86326500
Device \Driver\usbehci \Device\USBFDO-3 8656F1F8
Device \Driver\Ftdisk \Device\FtControl 8676F1F8
Device \Driver\ady62iuw \Device\Scsi\ady62iuw1 8653D500
Device \Driver\ady62iuw \Device\Scsi\ady62iuw1Port2Path0Target0Lun0 8653D500
Device \FileSystem\Fastfat \Fat 8606E1F8
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs 86330500
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys (*** hidden *** ) [SYSTEM] MSIVXserv.sys <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys@imagepath \systemroot\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys\modules@MSIVXserv \\?\globalroot\systemroot\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys\modules@MSIVXl \\?\globalroot\systemroot\system32\MSIVXlxwnsrpjxunefultssftnwlavmfwsdcq.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys\modules@MSIVXclk \\?\globalroot\systemroot\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xFC 0x4F 0xBB 0x11 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB4 0x85 0xF1 0x9A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8D 0xE6 0x72 0x09 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xC7 0x5B 0x42 0x31 ...
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys@imagepath \systemroot\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys\modules@MSIVXserv \\?\globalroot\systemroot\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys\modules@MSIVXl \\?\globalroot\systemroot\system32\MSIVXlxwnsrpjxunefultssftnwlavmfwsdcq.dll
Reg HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys\modules@MSIVXclk \\?\globalroot\systemroot\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xFC 0x4F 0xBB 0x11 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB4 0x85 0xF1 0x9A ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8D 0xE6 0x72 0x09 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xC7 0x5B 0x42 0x31 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION 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
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
fait un .bat avec ton bloc note (executer---> notepad) et copie_colle le contenu du cadre ci dessous , enregistre le sous le nom turlututu.bat , type de fichier "tous les fichiers", à coté de Gmer.
[code]
gmer.exe -killall
gmer.exe -del service MSIVXserv.sys
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXlxwnsrpjxunefultssftnwlavmfwsdcq.dll
gmer.exe -del file "C:\WINDOWS\system32\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll"
gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys"
shutdown.exe -r -t 00
[/code]
Double clic sur turlututu.bat ,ton pc devrait rebooter , sinon reset , et fait un scan MBAM au reboot
[code]
gmer.exe -killall
gmer.exe -del service MSIVXserv.sys
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXlxwnsrpjxunefultssftnwlavmfwsdcq.dll
gmer.exe -del file "C:\WINDOWS\system32\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll"
gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys"
shutdown.exe -r -t 00
[/code]
Double clic sur turlututu.bat ,ton pc devrait rebooter , sinon reset , et fait un scan MBAM au reboot
fait un .bat avec ton bloc note (executer---> notepad) et copie_colle le contenu ci dessous , enregistre le sous le nom turlututu.bat , type de fichier "tous les fichiers", à coté de Gmer:
gmer.exe -killall
gmer.exe -del service MSIVXserv.sys
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXlxwnsrpjxunefultssftnwlavmfwsdcq.dll
gmer.exe -del file "C:\WINDOWS\system32\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll"
gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys"
shutdown.exe -r -t 00
Double clic sur turlututu.bat ,ton pc devrait rebooter , sinon reset , et fait un scan MBAM au reboot
gmer.exe -killall
gmer.exe -del service MSIVXserv.sys
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXlxwnsrpjxunefultssftnwlavmfwsdcq.dll
gmer.exe -del file "C:\WINDOWS\system32\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll"
gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys"
shutdown.exe -r -t 00
Double clic sur turlututu.bat ,ton pc devrait rebooter , sinon reset , et fait un scan MBAM au reboot
Fait un .bat avec ton bloc note (executer---> notepad) et copie_colle le contenu ci dessous , enregistre le sous le nom turlututu.bat , type de fichier "tous les fichiers", à coté de Gmer:
gmer.exe -killall
gmer.exe -del service MSIVXserv.sys
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXlxwnsrpjxunefultssftnwlavmfwsdcq.dll"
gmer.exe -del file "C:\WINDOWS\system32\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll"
gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys"
shutdown.exe -r -t 00
Double clic sur turlututu.bat ,ton pc devrait rebooter , sinon reset , et fait un scan MBAM au reboot
c'est le bon celui là lol.oublie de "
gmer.exe -killall
gmer.exe -del service MSIVXserv.sys
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXlxwnsrpjxunefultssftnwlavmfwsdcq.dll"
gmer.exe -del file "C:\WINDOWS\system32\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll"
gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXrakqublxehymrxrgfidapalksibmqrgi.sys"
shutdown.exe -r -t 00
Double clic sur turlututu.bat ,ton pc devrait rebooter , sinon reset , et fait un scan MBAM au reboot
c'est le bon celui là lol.oublie de "
Nobuko
Messages postés
34
Date d'inscription
mardi 27 janvier 2009
Statut
Membre
Dernière intervention
7 juillet 2009
6 juil. 2009 à 16:38
6 juil. 2009 à 16:38
J'espère que c'est bien le dernier qu'il fallait que j'utilise ? XD
Je suis en train de scanner avec Malwarebytes mais je n'ai pas réussi à le mettre à jour. J'ai eu un message d'erreur.
En tout cas, je te remercie de ton aide jusqu'à présent. ^^
Je suis en train de scanner avec Malwarebytes mais je n'ai pas réussi à le mettre à jour. J'ai eu un message d'erreur.
En tout cas, je te remercie de ton aide jusqu'à présent. ^^
Nobuko
Messages postés
34
Date d'inscription
mardi 27 janvier 2009
Statut
Membre
Dernière intervention
7 juillet 2009
6 juil. 2009 à 18:04
6 juil. 2009 à 18:04
Voilà, malwarebytes à fini son scan et m'a viré plein de saloperies genre trojan. A présent, ma mise à jour se fait normalement.
Je poste le rapport (même si tu ne me l'a pas demandé, je préfère le faire au cas où) :
Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2329
Windows 5.1.2600 Service Pack 2
06/07/2009 17:53:11
mbam-log-2009-07-06 (17-53-06).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 206486
Temps écoulé: 1 hour(s), 47 minute(s), 15 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 6
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{f98fe3dc-180b-42fb-a0f9-546ed2a2a882}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{f98fe3dc-180b-42fb-a0f9-546ed2a2a882}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{f98fe3dc-180b-42fb-a0f9-546ed2a2a882}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\system volume information\_restore{a1fdd6d2-46cb-4d0b-bf14-2ad74a81810d}\RP215\A0037564.exe (Spyware.Agent) -> No action taken.
c:\system volume information\_restore{a1fdd6d2-46cb-4d0b-bf14-2ad74a81810d}\RP217\A0039095.exe (Spyware.Agent) -> No action taken.
c:\system volume information\_restore{a1fdd6d2-46cb-4d0b-bf14-2ad74a81810d}\RP248\A0045198.exe (Adware.RelevantKnowledge) -> No action taken.
c:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\Temp\tempo-6366531.tmp (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\system32\MSIVXcount (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll (Trojan.Agent) -> No action taken.
Pour les "No action taken", c'est juste parce que j'ai enregistré le rapport avant suppression des trojan et spyware.
Et je te remercie encore pour ton aide ! ^^
Je poste le rapport (même si tu ne me l'a pas demandé, je préfère le faire au cas où) :
Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2329
Windows 5.1.2600 Service Pack 2
06/07/2009 17:53:11
mbam-log-2009-07-06 (17-53-06).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 206486
Temps écoulé: 1 hour(s), 47 minute(s), 15 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 6
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{f98fe3dc-180b-42fb-a0f9-546ed2a2a882}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{f98fe3dc-180b-42fb-a0f9-546ed2a2a882}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{f98fe3dc-180b-42fb-a0f9-546ed2a2a882}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.149,85.255.112.214 -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\system volume information\_restore{a1fdd6d2-46cb-4d0b-bf14-2ad74a81810d}\RP215\A0037564.exe (Spyware.Agent) -> No action taken.
c:\system volume information\_restore{a1fdd6d2-46cb-4d0b-bf14-2ad74a81810d}\RP217\A0039095.exe (Spyware.Agent) -> No action taken.
c:\system volume information\_restore{a1fdd6d2-46cb-4d0b-bf14-2ad74a81810d}\RP248\A0045198.exe (Adware.RelevantKnowledge) -> No action taken.
c:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\Temp\tempo-6366531.tmp (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\system32\MSIVXcount (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\MSIVXqvklteuyjyqnmretmphldawuriwjbyxi.dll (Trojan.Agent) -> No action taken.
Pour les "No action taken", c'est juste parce que j'ai enregistré le rapport avant suppression des trojan et spyware.
Et je te remercie encore pour ton aide ! ^^