Rootkit-pakes.U Atapi.sys infecté aide SVP

Question

Bonjour,

Je ne sais pas comment j'ai attrapé ce cheval de troie mais bon je dois m'en débarrasser,ca ouvre des popup sans arrêt. Je viens de passer de vista vers windows 7 et tout allais bien jusqu'a ce qu j'attrape ce virus. À partir de la je me sui dis: je vais recommencer et réinstaller windows 7 mais lorsque l'installateur me demande de choisir une partition de mon disque dur(comme il a fait lorsque je suis passé de vista à windows 7) il me dis qu'il ne trouve aucune partition ou disque dur. De plus, Je sais que c'est le fichier Atapi.sys qui est infecté car à chaque démarrages, le bouclier résident d'AVG me dis qu'il y a une infection sur ce fichier mais je ne peut le supprimer et je comprends que c'est normal car c'est un fichier système.

Bref, QUE FAIRE?

aidez-moi SVP c'est urgent j'ai besoin de mon partable pour des traveaux d'université

fabul · Answer

Salut,

Il se peut que tu puisse réparer Atapi.sys en démarrant avec le cd de Windows 7

RegRun Reanimator Peut t'aider pour certaines supressions,faire des analyses avant le démarage windows avec l'option "Reboot" tu peut aussi essayer l'option "Use deep level scanning once" et cliquer sur "Reboot"

shiezle · Answer

Salut,

Merci pour ta réponse rapide. Je n'ai pas de cd de windows 7 car c'est une version que mon université m'a fournie donc je l'ai téléchargé (rien d'illégal c'est un logiciel authentique). Je vais immédiatement essayer le logiciel que tu me propose. Je te redonne des nouvelles aussitot. Merci beaucoup

shiezle · Answer

Bonjour,

J'ai essayé le logiciel et à supprimé le fichier CATCHME.SYS mais malheureusement cela n'a pas suffit car AVG détecte encore la meme menace au démarrage...

dans l'attente de dautres suggestion.

fabul · Answer

Il existe des Windows 7 recovery discs (disques de réparation), https://neosmart.net/blog/2009/windows-7-system-repair-discs/

Mais je ne sait pas a quel point est ce qu'il peuvent réparer,peut ètre une restauration a un point antérieur.

As tu un sustème 32 ou 64 bit?

shiezle · Answer

j'ai un système 32 bit avec windows 7 professionel

shiezle · Answer

Je suis en train de télécharger ce cd de réparation je te redonne des nouvelles si ce n'est pas ce soir ce sera samedi car demain j'ai des cours et je n'aurai pas le temps car j'abite à montréal et je redescend à québec demain soir donc si je ne regle pas ca ce soir ce sera samedi.

Merci beaucoup pour ton aide

shiezle · Answer

Bon, j'ai essayé de démarrer su mon dvd mais cela n'a pas fonctionné (cd ou dvd ca change quelque chose?) et cela n'a pas fonctionné... je ressayerai samedi mais d'ici la... TOUTES les suggestions sont les bienvenues

Merci a l'avance

fabul · Answer

Le démarrage est il en priorité #1 sur CD-ROM dans le bios (avant HDD)?

CD ou DVD,ce n'est pas ça qui fait la différence,a moins que ce soit un réinscriptible,je crois qu'un RW ne peut pas ètre bootable.

shiezle · Answer

ah d'accord c'étais un rw alors j'essaiera samedi de le faire car présentement je n'ai pas de dvd-r (dans le bios c'étais bien correct).

Bonne nuit je dois aller me coucher.

Utilisateur anonyme · Answer

Salut

Pour les problèmes de Virus/Sécurité merci de poster dans le forum approprié, ici c'est Windows...

Trying2 · Answer

Hello à tous,


@Fabul:
Juste pour dire que je ne suis pas d'accord avec ceci:
je crois qu'un RW ne peut pas être bootable.

Peu importe le type de CD...
En revanche, il vaut mieux vérifier que l'ISO a bien été gravée avec ce type de logiciel.


@Shiezle:
Si tu veux faire une recherche de Malwares:

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

-Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches) dans deux messages différents.

@ Scarface:
J'ai demandé à déplacer.
:)


PS à ne pas prendre en compte: Je me met ça de côté au cas où (à voir également la compatibilité avec 7).

Utilisateur anonyme · Answer

Salut Trying2 ;-)

@Fabul:
Juste pour dire que je ne suis pas d'accord avec ceci:
je crois qu'un RW ne peut pas être bootable.

Peu importe le type de CD...
En revanche, il vaut mieux vérifier que l'ISO a bien été gravée avec ce type de logiciel. <= j'ai déjà gravé plusieurs OS sur Dvd RW sans aucun problème pour les booter ni les installer...

 @ Scarface:
J'ai demandé à déplacer.
:)  <= je l'avais fait aussi mais il faudra patienter ^^

shiezle · Answer

Bonjour, quand je lance le logiciel, l'analyse ne se termine pas et jobtient l'erreur suivante: 
Line -1:
Error: Variable used without being declared.

Que faire :( ??

shiezle · Answer

Ah voila en mode compatibilité win XP ca marche... voici mon log:
ps: je n'ai pas trouvé le duexième log.info...

Logfile of random's system information tool 1.06 (written by random/random)
Run by maxime at 2009-10-30 08:41:23
Microsoft Windows 7 Professionnel  Service Pack 3
System drive C: has 113 GB (74%) free of 153 GB
Total RAM: 3071 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:41:26, on 2009-10-30
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askhost.exe
C:\Program files\P4G\BatteryLife.exe
C:\Program Files\AVG\AVG9\avgtray.exe
C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Windows\System32undll32.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Windows\system32\wermgr.exe
C:\Users\maxime\Desktop\RSIT.exe
C:\Program Files	rend micro\maxime.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Gestionnaire Antidote.exe (User 'Système')
O4 - HKUS\.DEFAULT\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Gestionnaire Antidote.exe (User 'Default user')
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: S&end to OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\Windows\System32\avgrsstx.dll
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: Remote Procedure Call (RPC) Net (rpcnet) - Absolute Software Corp. - C:\Windows\system32pcnet.exe

shiezle · Answer

Ah voila j'ai trouvé le deuxième log dans c/rsit...

info.txt logfile of random's system information tool 1.06 2009-10-30 08:41:30

======Uninstall list======

-->MsiExec /X{5DB65884-C963-4454-AABA-4CA3089281FA}
µTorrent-->"C:\Program Files\uTorrent\uTorrent.exe" /UNINSTALL
Adobe Acrobat 9 Pro - English, Français, Deutsch-->msiexec /I {AC76BA86-1033-F400-7760-000000000004}
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Antidote RX v7-->MsiExec.exe /X{A474EA56-5DBD-4181-8230-806A4762EA7F}
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
ASUS Power4Gear Hybrid-->MsiExec.exe /I{9B6239BF-4E85-4590-8D72-51E30DB1A9AA}
ASUS Splendid Video Enhancement Technology-->MsiExec.exe /I{0969AF05-4FF6-4C00-9406-43599238DE0D}
ATK Hotkey-->MsiExec.exe /I{7C05592D-424B-46CB-B505-E0013E8E75C9}
ATK Media-->MsiExec.exe /I{D1E5870E-E3E5-4475-98A6-ADD614524ADF}
AVG Free 9.0-->C:\Program Files\AVG\AVG9\setup.exe /UNINSTALL
CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Java(TM) 6 Update 16-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
LimeWire PRO 5.1.2-->"C:\Program Files\LimeWire\uninstall.exe"
Logiciel d'archivage WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office Access MUI (English) 14-->MsiExec.exe /X{10140000-0015-0409-0000-0000000FF1CE}
Microsoft Office Excel MUI (English) 14-->MsiExec.exe /X{10140000-0016-0409-0000-0000000FF1CE}
Microsoft Office Groove MUI (English) 14-->MsiExec.exe /X{10140000-00BA-0409-0000-0000000FF1CE}
Microsoft Office Groove Setup Metadata MUI (English) 14-->MsiExec.exe /X{10140000-0114-0409-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (English) 14-->MsiExec.exe /X{10140000-0044-0409-0000-0000000FF1CE}
Microsoft Office OneNote MUI (English) 14-->MsiExec.exe /X{10140000-00A1-0409-0000-0000000FF1CE}
Microsoft Office Outlook MUI (English) 14-->MsiExec.exe /X{10140000-001A-0409-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (English) 14-->MsiExec.exe /X{10140000-0018-0409-0000-0000000FF1CE}
Microsoft Office Professional Plus 14-->MsiExec.exe /X{10140000-0011-0000-0000-0000000FF1CE}
Microsoft Office Professional Plus 2010 (Technical Preview)-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE14\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Proof (English) 14-->MsiExec.exe /X{10140000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 14-->MsiExec.exe /X{10140000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 14-->MsiExec.exe /X{10140000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (English) 14-->MsiExec.exe /X{10140000-002C-0409-0000-0000000FF1CE}
Microsoft Office Publisher MUI (English) 14-->MsiExec.exe /X{10140000-0019-0409-0000-0000000FF1CE}
Microsoft Office Shared MUI (English) 14-->MsiExec.exe /X{10140000-006E-0409-0000-0000000FF1CE}
Microsoft Office Shared Setup Metadata MUI (English) 14-->MsiExec.exe /X{10140000-0115-0409-0000-0000000FF1CE}
Microsoft Office Word MUI (English) 14-->MsiExec.exe /X{10140000-001B-0409-0000-0000000FF1CE}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Need for Speed™ SHIFT-->MsiExec.exe /X{BBF0A67B-5DBA-452F-9D2E-6F168BC226E4}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
NVIDIA PhysX-->MsiExec.exe /X{5DB65884-C963-4454-AABA-4CA3089281FA}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
PowerISO-->"C:\Program Files\PowerISO\uninstall.exe"
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe"  -removeonly
Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}

======System event log======

Computer Name: maxime-PC
Event Code: 11
Message: Les bibliothèques de liens dynamiques sont chargées pour chaque application. L’administrateur système doit vérifier la liste des bibliothèques pour s’assurer qu’elles sont associées à des applications approuvées.
Record Number: 583
Source Name: Microsoft-Windows-Wininit
Time Written: 20091028212629.029253-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: maxime-PC
Event Code: 219
Message: Le chargement du pilote \Driver\umbus a échoué pour le périphérique Root\UMBUS\0000.
Record Number: 569
Source Name: Microsoft-Windows-Kernel-PnP
Time Written: 20091028212609.326419-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: maxime-PC
Event Code: 4001
Message: Le Service d’autoconfiguration WLAN s’est arrêté correctement.

Record Number: 553
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20091028212525.276854-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: maxime-PC
Event Code: 205
Message: Le service de l’Assistant Compatibilité des programmes n’a pas pu effectuer la phase 2 de l’initialisation.
Record Number: 484
Source Name: Microsoft-Windows-Application-Experience
Time Written: 20091028210413.861819-000
Event Type: Erreur
User: AUTORITE NT\Système

Computer Name: 37L4247D28-05
Event Code: 219
Message: Le chargement du pilote \Driver	unnel a échoué pour le périphérique ROOT\*ISATAP\0000.
Record Number: 229
Source Name: Microsoft-Windows-Kernel-PnP
Time Written: 20091028153903.622711-000
Event Type: Avertissement
User: AUTORITE NT\Système

=====Application event log=====

Computer Name: maxime-PC
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d’autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-2135393127-2446643574-1440975909-1001:
Process 2224 (\Device\HarddiskVolume2\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-2135393127-2446643574-1440975909-1001\Software\Microsoft\Windows\CurrentVersion\Explorer

Record Number: 441
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20091028175501.985085-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: maxime-PC
Event Code: 10006
Message: Impossible de fermer l’application ou le service « Internet Explorer ».
Record Number: 396
Source Name: Microsoft-Windows-RestartManager
Time Written: 20091028174720.055473-000
Event Type: Erreur
User: maxime-PC\maxime

Computer Name: maxime-PC
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d’autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-2135393127-2446643574-1440975909-1001:
Process 432 (\Device\HarddiskVolume2\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-2135393127-2446643574-1440975909-1001

Record Number: 219
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20091028212520.331646-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: maxime-PC
Event Code: 11
Message: Fuite de mémoire possible.  L’application (C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted) (PID : 976) a transmis un pointeur non NULL à RPC pour un paramètre [out] marqué [allocate(all_nodes)].  Les paramètres [allocate(all_nodes)] sont toujours réaffectés ; si le pointeur initial contenait une adresse mémoire valide, cela entraînerait une fuite de cette mémoire.  L’appel provenait de l’interface avec l’UUID ({3F31C91E-2545-4B7B-9311-9529E8BFFEF6}), Numéro de méthode (10).  Action utilisateur : contactez le fournisseur de l’application pour obtenir une version mise à jour.
Record Number: 182
Source Name: Microsoft-Windows-RPC-Events
Time Written: 20091028155732.519878-000
Event Type: Avertissement
User: AUTORITE NT\SERVICE LOCAL

Computer Name: maxime-PC
Event Code: 1008
Message: Le service Windows Search démarre et tente de supprimer l’ancien index de recherche {Raison : Réinitialisation totale de l’index}. 

Record Number: 179
Source Name: Microsoft-Windows-Search
Time Written: 20091028155713.000000-000
Event Type: Avertissement
User: 

=====Security event log=====

Computer Name: 37L4247D28-05
Event Code: 4735
Message: Un groupe local dont la sécurité est activée a été modifié.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		37L4247D28-05$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7

Groupe :
	ID de sécurité :		S-1-5-32-551
	Nom du groupe :		Opérateurs de sauvegarde
	Domaine du groupe :		Builtin

Attributs modifiés :
	Nom du compte SAM :	-
	Historique SID :		-

Informations supplémentaires :
	Privilèges :		-
Record Number: 5
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091028153659.181292-000
Event Type: Succès de l’audit
User: 

Computer Name: 37L4247D28-05
Event Code: 4731
Message: Un groupe local dont la sécurité est activée a été créé.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		37L4247D28-05$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7

Nouveau groupe :
	ID de sécurité :		S-1-5-32-551
	Nom du groupe :		Opérateurs de sauvegarde
	Domaine du groupe :		Builtin

Attributs :
	Nom du compte SAM :	Opérateurs de sauvegarde
	Historique SID :		-

Informations supplémentaires :
	Privilèges :		-
Record Number: 4
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091028153659.181292-000
Event Type: Succès de l’audit
User: 

Computer Name: 37L4247D28-05
Event Code: 4902
Message: La table de stratégie d’audit par utilisateur a été créée.

Nombre d’éléments :	0
ID de la stratégie :	0x22c1b
Record Number: 3
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091028153658.682091-000
Event Type: Succès de l’audit
User: 

Computer Name: 37L4247D28-05
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-0-0
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			0

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-18
	Nom du compte :		Système
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x4
	Nom du processus :		

Informations sur le réseau :
	Nom de la station de travail :	-
	Adresse du réseau source :	-
	Port source :		-

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		-
	Package d’authentification :	-
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 2
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091028153656.154887-000
Event Type: Succès de l’audit
User: 

Computer Name: 37L4247D28-05
Event Code: 4608
Message: Windows démarre.

Cet événement est journalisé lorsque LSASS.EXE démarre et que le sous-système d’audit est initialisé.
Record Number: 1
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091028153656.076887-000
Event Type: Succès de l’audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
"NUMBER_OF_PROCESSORS"=2
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=170a

-----------------EOF-----------------

Trying2 · Answer

1/
Ton fichier Log.txt n'est pas complet:
Fais ceci pour me le faire parvenir :

Va sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport qui est sauvegardé ici: C:\Rsit\Log.txt
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois le téléchargement terminé, un lien apparait : copie/colle le dans ta prochaine réponse stp.

Refais la même manip' stp pour ce fichier: C:\ComboFix.txt



2/
Télécharge OAD de !aur3n7
- Enregistre le sur ton bureau

Double clique sur OAD pour le lancer.

- "nom de fichier à rechercher" tape ou fais un copier/coller de : atapi.sys
- "Type de recherche" : sélectionne l'option 6 puis valide avec la touche [entrée].

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il ait terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

3/
Fais analyser ce fichier (celui en gras) sur virus total:

C:\Windows\winstart.bat 
  

Tuto.
Fais moi un copier/coller du lien menant vers le rapport dans ta prochaine réponse.

Si besoin est: 
Affiche les fichiers et les dossiers cachés de cette manière.



4/
Je crois qu'on risque de s'amuser pour virer ce Rootkit, j'ai quelques pistes, mais avant tout j'aimerais savoir si tu as idée de comment tu as pu le choper.
Tu es certain que ton 7 est clean?
Hormis ces pop-ups, quels sont les autres désagréments?

shiezle · Answer

http://www.cijoint.fr/cjlink.php?file=cj200910/cijpTZhFlf.txt
http://www.cijoint.fr/cjlink.php?file=cj200910/cijFKkA8Qs.txt
http://www.cijoint.fr/cjlink.php?file=cj200910/cijdPXGI4E.txt 

Bon alors j'ai télécharger le premier programme mais à la fin il se ferme et je n'ai pas le temps de voir car blocnote ouvre mais il me dis qu'il ne trouve pas le fichier C:\resultat.txt

Ensuite, Je ne trouve pas winstart.bat. j'ai fais une recherche dans tout l'ordinateur et il n'a pas trouvé ce fichier...

dans l'atente de nouvelles instructions

shiezle · Answer

J'ai essayé plusieurs fois mais on dirait que le rapport ne se sauvegarde pas et je n'ai pas de fichier resultat.txt dans mon ordinateur... Par contre j'ai trouvé winstart.bat mais je ne le vois pas lorsque je fais rechercher avec le site que tu m'a donné...

shiezle · Answer

Pour mon windows 7 c'est garantis que c'est clean... C'est l'université qui me l'a fournie. Et je n'ai aucune idée de comme j'aurais pu l'attraper je ne vais sur aucun site dangereux sur cet ordinateur... Le seul autre désagrément que je rencontre (je ne sais pas si cela a rapport avec cela) mais j'ai réinstaller le logiciel CATIA V5r18 mais ile ne veut pas démarrer...

shiezle · Answer

voici pour catch me:

detected NTDLL code modification:
ZwEnumerateKey 0 != 116, ZwQueryKey 0 != 244, ZwOpenKey 0 != 182, ZwClose 0 != 50, ZwEnumerateValueKey 0 != 119, ZwQueryValueKey 0 != 266, ZwOpenFile 0 != 179, ZwQueryDirectoryFile 0 != 223, ZwQuerySystemInformation 0 != 261Initialization error

voici pour sf:

========================= SF 1.0.0.4 - C_XX | 16:14:54,74

Valeur(s) recherchée(s):

atapi.sys


========================= Fichier(s)/Dossier(s):

"C:\Windows\System32\drivers\atapi.sys"
MD5: 338c86357871c167a96ab976519bf59e | --a------ | 2009-07-14 02:26
. 
"C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_f64b9c35a3a5be81\atapi.sys"
MD5: 338c86357871c167a96ab976519bf59e | --a------ | 2009-07-14 02:26
. 
"C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_dd0e7e3d82dd640d\atapi.sys"
MD5: 338c86357871c167a96ab976519bf59e | --a------ | 2009-07-14 02:26
. 

========================= Registre:



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\PnpLockdownFiles]
"%SystemPath%\system32\DRIVERS\atapi.sys"=""

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\atapi]
"ImagePath"="system32\DRIVERS\atapi.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\services\atapi]
"ImagePath"="system32\DRIVERS\atapi.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\services\atapi]
"ImagePath"="system32\DRIVERS\atapi.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\atapi]
"ImagePath"="system32\DRIVERS\atapi.sys"


========================= E.O.F | 16:15:22,66

shiezle · Answer

Alors, avez-vous trouvé la solution ou des indices?

shiezle · Answer

Ah oui un autre problème renontré avec ce virus est que lorsque je clique sur un lien internet il faut que je revienne sur la page pour cliquer sur le lien plusieurs fois pour arriver sur la page qui concorde avec le lien...

shiezle · Answer

SVP Je dois régler ce probleme est-ce que vous allez etre capable de m'aider?

Trying2 · Answer

Pourrais je avoir le rapport complet du scan d'AVG stp?

shiezle · Answer

Voici le scan et les résultats. Je ne sais pas si c'est le rapport complet mais c'est la seule chose que j'ai trouvé sur avast...:

"L'Analyse ""Analyse complète"" est terminée."
"Infections;""33"";""5"";""28"""
"Dossiers sélectionnés pour l'analyse :;""Analyse complète"""
"Analyse démarrée :;""3 novembre 2009, 18:24:48"""
"Analyse terminée :;""3 novembre 2009, 18:53:26 (28 minute(s) 37 seconde(s))"""
"Total des objets analysés :;""403304"""
"Utilisateur ayant exécuté l'analyse :;""maxime"""

Infections
"Fichier;""Infection"";""Résultat"""
"D:\solidworks\Solidworks.COSMOSWorks.V2008.SP2.1-Lz0\Lz0\system32\ibfs32.dll;""Cheval de Troie : BackDoor.Generic11.ASSD"";""Placé en quarantaine"""
"D:\solidworks\Solidworks.COSMOSWorks.V2008.SP2.1-Lz0\Linezer0.part20.rar:\Lz0\system32\ibfs32.dll;""Cheval de Troie : BackDoor.Generic11.ASSD"";""Placé en quarantaine"""
"D:\solidworks\Solidworks.COSMOSWorks.V2008.SP2.1-Lz0\Linezer0.part20.rar;""Cheval de Troie : BackDoor.Generic11.ASSD"";""Placé en quarantaine"""
"D:\solidworks\Solidworks.COSMOSMotion.V2008.SP2.1-Lz0\Linezer0.part09.rar:\Lz0\system32\ibfs32.dll;""Cheval de Troie : BackDoor.Generic11.ASSD"";""Placé en quarantaine"""
"D:\solidworks\Solidworks.COSMOSMotion.V2008.SP2.1-Lz0\Linezer0.part09.rar;""Cheval de Troie : BackDoor.Generic11.ASSD"";""Placé en quarantaine"""
"C:\Windows\System32	askhost.exe (3320):\memory_00010000;""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Windows\System32	askhost.exe (3320);""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Windows\System32undll32.exe (3616):\memory_00010000;""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Windows\System32undll32.exe (3616);""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Windows\System32\dwm.exe (3312):\memory_00010000;""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Windows\System32\dwm.exe (3312);""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Windows\System32\conhost.exe (4196):\memory_00010000;""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Windows\System32\conhost.exe (4196);""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Windows\explorer.exe (3356):\memory_00010000;""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Windows\explorer.exe (3356);""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe (3660):\memory_00010000;""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe (3660);""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\Windows Live\Contacts\wlcomm.exe (2992):\memory_00010000;""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\Windows Live\Contacts\wlcomm.exe (2992);""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (3632):\memory_00010000;""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (3632);""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\AVG\AVG9\avgui.exe (4956):\memory_00010000;""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\AVG\AVG9\avgui.exe (4956);""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\AVG\AVG9\avgtray.exe (3552):\memory_00010000;""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\AVG\AVG9\avgtray.exe (3552);""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\AVG\AVG9\avgscanx.exe (4156):\memory_00010000;""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\AVG\AVG9\avgscanx.exe (4156);""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\AVG\AVG9\avgcsrvx.exe (4256):\memory_00010000;""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\AVG\AVG9\avgcsrvx.exe (4256);""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\ASUS\ATK Media\DMedia.exe (3600):\memory_00010000;""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\ASUS\ATK Media\DMedia.exe (3600);""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe (3572):\memory_00010000;""Cheval de Troie : Agent_r.OT"";""Infecté"""
"C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe (3572);""Cheval de Troie : Agent_r.OT"";""Infecté"""



si cela n'est pas l'annalyse complète, pourrais-tu m'indiquer comment aller le chercher?

Merci Beaucoup

Trying2 · Answer

Je tiens à faire une vérification de cette manière:
Fais un scan en ligne en allant sur cette page, un rapport complet sera généré à la fin de l'examen.
Poste moi son contenu dans ta prochaine réponse.

shiezle · Answer

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-11-04 16:59:56
PROTECTIONS: 1
MALWARE: 18
SUSPECTS: 3
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
AVG Anti-Virus Free                                                        Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00135558  adware/searchforit                 Adware              No        0         Yes            No           c:\program files\sf
00139060  Cookie/Casalemedia                 TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@casalemedia[2].txt
00139060  Cookie/Casalemedia                 TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@casalemedia[3].txt
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\maxime@doubleclick[1].txt
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@doubleclick[1].txt
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@doubleclick[2].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\maxime@atdmt[1].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\maxime@atdmt[3].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@atdmt[1].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@atdmt[2].txt
00145393  Cookie/Tradedoubler                TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@tradedoubler[1].txt
00145405  Cookie/RealMedia                   TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@247realmedia[1].txt
00145457  Cookie/FastClick                   TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@fastclick[2].txt
00145457  Cookie/FastClick                   TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@fastclick[1].txt
00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@mediaplex[2].txt
00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@mediaplex[1].txt
00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\maxime@mediaplex[1].txt
00167642  Cookie/Com.com                     TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@com[1].txt
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@xiti[2].txt
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@xiti[1].txt
00167753  Cookie/Statcounter                 TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@statcounter[1].txt
00167753  Cookie/Statcounter                 TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@statcounter[2].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@ad.yieldmanager[3].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@ad.yieldmanager[2].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@apmebf[3].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@apmebf[1].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\maxime@apmebf[1].txt
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@weborama[1].txt
00168110  Cookie/Server.iad.Liveperson       TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@server.iad.liveperson[2].txt
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@advertising[1].txt
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@advertising[3].txt
00171982  Cookie/QuestionMarket              TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@questionmarket[1].txt
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@smartadserver[1].txt
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           c:\users\maxime\appdata\roaming\microsoft\windows\cookies\low\maxime@smartadserver[3].txt
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
No        c:\program files\dassault systemes\b18\intel_a\code\bin\r3000br.dll
No        c:\program files\dassault systemes\b18\intel_a\code\bin\ra000br.dll
No        c:\program files\dassault systemes\b18\intel_a\code\bin\ug000br.dll
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================

Voici le rapport complet mais les fichiers dll qui sont dans le dossier dassault systemes ne sont pas des virus je sais c'est quoi...

Trying2 · Answer

Hello,



Fais analyser ces 3 fichiers (ceux en gras) sur virus total:


C:\Program Files\AVG\AVG9\avgtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\explorer.exe  
  

Tuto.
Fais moi un copier/coller des liens menant vers les 3 rapports dans ta prochaine réponse:
C'est à dire que quand le fichier a fini d'être analysé, copie l'adresse de ton navigateur et colle la dans ton prochain message.


Si besoin est: 
Affiche les fichiers et les dossiers cachés de cette manière.

shiezle · Answer

Bonjour,
Merci pour tous vos efforts, mais j'ai été dans l'obligation de reformater mon ordinateur car j'ai eu des écran bleus et blablabla donc j'ai réglé mon problème..

Merci beaucoup pour tous vos efforts et à la prochaine

Rootkit-pakes.U Atapi.sys infecté aide SVP

29 réponses

Votre réponse

Discussions similaires

Newsletters