Rootkit

karine38 -  
 Utilisateur anonyme -
Bonjour,

mon antivirus a detecté un rootkit sur mon PCde plus j'observe que mon matériel est plus lent depuis un certain temps. aprés de multiple reboot de mon PC je n'arrive toujours pas a eliminer ce rootkit
voici un hijackthis de mon PC... par avancemerci de votre aide:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:45:08, on 07/11/2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\TPSMain.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\mslsrv32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\DOCUME~1\JEANNE~1\LOCALS~1\Temp\U.exe
C:\WINDOWS\System32\rundll.exe
C:\WINDOWS\services.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\winXTQn.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\WINDOWS\9new.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://postarticles.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4AB01B3E-F6F5-4687-A91E-17B7B7B25CB7} - C:\WINDOWS\System32\apphel.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Windows Data Serivce] 9new.exe
O4 - HKLM\..\Run: [Windows Firevall Control Center] C:\WINDOWS\System32\rundll.exe
O4 - HKLM\..\Run: [sys32] winXTQn.exe
O4 - HKLM\..\Run: [agfds] C:\DOCUME~1\JEANNE~1\LOCALS~1\Temp\U.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\mslsrv32.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Firevall Control Center] C:\WINDOWS\System32\rundll.exe
O4 - HKCU\..\Run: [agfds] C:\DOCUME~1\JEANNE~1\LOCALS~1\Temp\U.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\mslsrv32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
A voir également:

11 réponses

Réponse 1 / 11
Utilisateur anonyme
 
salut :

Télécharge et install UsbFix par Chiquitine29

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

▶ Double clic sur le raccourci UsbFix présent sur ton bureau .

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

▶ Laisse travailler l'outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Réponse 2 / 11
Redbart Messages postés 22276 Date d'inscription   Statut Membre Dernière intervention   3 288
 
Bsr
c'est pas usbfix qui mettre le pc à jour, ni installer un antivirus et un pare feu
0
karine38
 
voilà dsl j'ai été surpris de la rapidité.

############################## | UsbFix V6.049 |

User : jeanne karine (Administrateurs) # KARINE
Update on 06/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:59:06 | 07/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Celeron(R) CPU 2.80GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 1
Internet Explorer 6.0.2800.1106

C:\ -> Disque fixe local # 37,25 Go (28,54 Go free) # NTFS
D:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 472
C:\WINDOWS\system32\csrss.exe 528
C:\WINDOWS\system32\winlogon.exe 552
C:\WINDOWS\system32\services.exe 600
C:\WINDOWS\system32\lsass.exe 612
C:\WINDOWS\System32\Ati2evxx.exe 752
C:\WINDOWS\system32\svchost.exe 780
C:\WINDOWS\System32\svchost.exe 804
C:\WINDOWS\System32\svchost.exe 972
C:\WINDOWS\System32\svchost.exe 992
C:\WINDOWS\system32\Ati2evxx.exe 1224
C:\WINDOWS\Explorer.EXE 1276
C:\WINDOWS\system32\spoolsv.exe 1292
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe 1484
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe 1528
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe 1536
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 1544
C:\WINDOWS\System32\TPSMain.exe 1560
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe 1572
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe 1588
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe 1608
C:\WINDOWS\mslsrv32.exe 1620
C:\WINDOWS\AGRSMMSG.exe 1664
C:\DOCUME~1\JEANNE~1\LOCALS~1\Temp\U.exe 1720
C:\WINDOWS\System32\rundll.exe 1748
C:\WINDOWS\services.exe 1760
C:\WINDOWS\System32\ctfmon.exe 1824
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe 1832
C:\WINDOWS\winXTQn.exe 1860
C:\WINDOWS\System32\TPSBattM.exe 192
C:\WINDOWS\9new.exe 424
C:\WINDOWS\System32\wuauclt.exe 2344
C:\WINDOWS\System32\svchost.exe 3356
C:\WINDOWS\System32\svchost.exe 3516
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe 3512
C:\WINDOWS\system32\NOTEPAD.EXE 1304
C:\WINDOWS\system32\ftp.exe 3788
C:\WINDOWS\System32\svchost.exe 952
C:\Program Files\Mozilla Firefox\firefox.exe 3384
C:\WINDOWS\System32\wbem\wmiprvse.exe 4084

################## | Fichiers # Dossiers infectieux |

C:\WINDOWS\9new.exe
C:\WINDOWS\logfile32.txt
C:\WINDOWS\nigzss.txt
C:\WINDOWS\services.exe
C:\WINDOWS\system32\48.scr
C:\WINDOWS\system32\50.scr
C:\WINDOWS\system32\54.scr
C:\WINDOWS\system32\74.scr
C:\WINDOWS\system32\80.scr
C:\WINDOWS\system32\82.scr
C:\WINDOWS\system32\9new.exe
C:\WINDOWS\system32\rundll.exe
C:\WINDOWS\system32\x.exe
C:\DOCUME~1\JEANNE~1\LOCALS~1\Temp\u.exe
C:\u.exe

################## | Registre # Clés Run infectieuses |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Driver Setup"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "services"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Data Serivce"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "Microsoft Driver Setup"

################## | Registre # Mountpoints2 |


################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.049 ! |
0
karine38 > karine38
 
up
0
Réponse 3 / 11
Utilisateur anonyme
 
redbart je prefere installer des protections sur un pc desinfecté

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

▶ Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

▶ Ton bureau disparaitra et le pc redémarrera .

▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
0
karine38
 
############################## | UsbFix V6.049 |

User : jeanne karine (Administrateurs) # KARINE
Update on 06/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 10:29:17 | 08/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Celeron(R) CPU 2.80GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 37,25 Go (23,59 Go free) # NTFS
D:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 468
C:\WINDOWS\system32\csrss.exe 524
C:\WINDOWS\system32\winlogon.exe 548
C:\WINDOWS\system32\services.exe 592
C:\WINDOWS\system32\lsass.exe 604
C:\WINDOWS\System32\Ati2evxx.exe 756
C:\WINDOWS\system32\svchost.exe 772
C:\WINDOWS\system32\svchost.exe 832
C:\WINDOWS\System32\svchost.exe 872
C:\WINDOWS\System32\svchost.exe 968
C:\WINDOWS\System32\svchost.exe 996
C:\WINDOWS\system32\spoolsv.exe 1156
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe 1248
C:\WINDOWS\system32\wuauclt.exe 1420
C:\WINDOWS\system32\logonui.exe 1544
C:\WINDOWS\System32\alg.exe 1636
C:\WINDOWS\system32\wscntfy.exe 1768
C:\WINDOWS\system32\Ati2evxx.exe 1920
C:\WINDOWS\system32\userinit.exe 1948
C:\WINDOWS\Explorer.EXE 1980
C:\WINDOWS\System32\wbem\wmiprvse.exe 232

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\WINDOWS\9new.exe
Supprimé ! C:\WINDOWS\logfile32.txt
Supprimé ! C:\WINDOWS\nigzss.txt
Supprimé ! C:\WINDOWS\system32\48.scr
Supprimé ! C:\WINDOWS\system32\50.scr
Supprimé ! C:\WINDOWS\system32\54.scr
Supprimé ! C:\WINDOWS\system32\74.scr
Supprimé ! C:\WINDOWS\system32\80.scr
Supprimé ! C:\WINDOWS\system32\82.scr
Supprimé ! C:\WINDOWS\system32\rundll.exe
Supprimé ! C:\WINDOWS\system32\x.exe
Supprimé ! C:\DOCUME~1\JEANNE~1\LOCALS~1\Temp\u.exe
Supprimé ! C:\u.exe

################## | Registre # Clés Run infectieuses |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Driver Setup"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "services"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Data Serivce"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "Microsoft Driver Setup"

################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[18/05/2004 12:55|--a------|0] C:\AUTOEXEC.BAT
[07/11/2009 23:13|-rahs----|216] C:\boot.ini
[24/04/2003 12:00|-rahs----|4952] C:\Bootfont.bin
[18/05/2004 12:55|--a------|0] C:\CONFIG.SYS
[18/05/2004 12:55|-rahs----|0] C:\IO.SYS
[02/11/2009 19:51|--a------|67584] C:\messi.exe
[18/05/2004 12:55|-rahs----|0] C:\MSDOS.SYS
[03/11/2009 18:32|--a------|27253] C:\myouh.exe
[07/11/2009 23:01|-rahs----|47564] C:\NTDETECT.COM
[07/11/2009 23:01|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[16/06/2004 09:49|---h-----|237] C:\SWSTAMP.TXT
[08/11/2009 10:31|--a------|3077] C:\UsbFix.txt
[02/11/2009 21:10|--a------|67584] C:\www.huddletogether.com

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\JEANNE~1\Bureau\UsbFix_Upload_Me_KARINE.zip : https://www.androidworld.fr/
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.049 ! |
0
Réponse 4 / 11
Utilisateur anonyme
 
C:\myouh.exe
C:\messi.exe

peux tu envoyer ces deux fichiers au meme endroit que le dossier zippé pour l avancement de l outil stp ? :

https://www.androidworld.fr/


======================
Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

▶ Télécharge List&Kill'em et enregistre le sur ton bureau

Il ne necessite pas d'installation

▶double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

▶laisse travailler l'outil

le rapport va s'afficher , une fois le scan fini

▶colle le contenu dans ta prochaine réponse
0
karine38
 
List'em by g3n-h@ckm@n 1.0.5.2

Thx to Chiquitine29.....

User : jeanne karine (Administrateurs) # KARINE
Update on 07/11/2009 by g3n-h@ckm@n ::::: 20.00
Start at: 10:49:42 | 08/11/2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Celeron(R) CPU 2.80GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 37,25 Go (23,58 Go free) | NTFS
D:\ -> Disque CD-ROM

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus en cours

C:\WINDOWS\System32\smss.exe 468
C:\WINDOWS\system32\csrss.exe 524
C:\WINDOWS\system32\winlogon.exe 548
C:\WINDOWS\system32\services.exe 592
C:\WINDOWS\system32\lsass.exe 604
C:\WINDOWS\System32\Ati2evxx.exe 756
C:\WINDOWS\system32\svchost.exe 772
C:\WINDOWS\system32\svchost.exe 832
C:\WINDOWS\System32\svchost.exe 872
C:\WINDOWS\System32\svchost.exe 968
C:\WINDOWS\System32\svchost.exe 996
C:\WINDOWS\system32\spoolsv.exe 1156
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe 1248
C:\WINDOWS\System32\alg.exe 1636
C:\WINDOWS\system32\wscntfy.exe 1768
C:\WINDOWS\system32\Ati2evxx.exe 1920
C:\WINDOWS\explorer.exe 512
C:\WINDOWS\system32\notepad.exe 1792
C:\Program Files\Internet Explorer\iexplore.exe 1888
C:\WINDOWS\system32\wuauclt.exe 1436
C:\WINDOWS\SoftwareDistribution\Download\8a2a5ecd72c62a4fe04757ab8c19e933\update\update.exe 300
C:\WINDOWS\system32\wuauclt.exe 1064
C:\WINDOWS\System32\svchost.exe 1688
C:\Documents and Settings\jeanne karine\Local Settings\Temporary Internet Files\Content.IE5\VDSFGXUT\List_Killem[1].exe 708
C:\WINDOWS\system32\cmd.exe 608
C:\WINDOWS\System32\wbem\wmiprvse.exe 1896
C:\Documents and Settings\jeanne karine\Local Settings\Temp\2.tmp\pv.exe 1272

======================
Cles de demarrage "Run"
======================
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"TOSCDSPD"="C:\\Program Files\\TOSHIBA\\TOSCDSPD\\toscdspd.exe"
"MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
"Windows Firevall Control Center"="C:\\WINDOWS\\system32\\rundll.exe"
"agfds"="C:\\DOCUME~1\\JEANNE~1\\LOCALS~1\\Temp\\U.exe"
"SpybotSD TeaTimer"="C:\\Program Files\\Spybot - Search & Destroy\\TeaTimer.exe"

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe"
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SynTPLpr"="C:\\Program Files\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
"TPSMain"="TPSMain.exe"
"THotkey"="C:\\Program Files\\Toshiba\\Toshiba Applet\\thotkey.exe"
"SmoothView"="C:\\Program Files\\TOSHIBA\\Utilitaire de zoom TOSHIBA\\SmoothView.exe"
"PadTouch"="\"C:\\Program Files\\TOSHIBA\\PadTouch\\PadExe.exe"
"LtMoh"="C:\\Program Files\\ltmoh\\Ltmoh.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"Windows Firevall Control Center"="C:\\WINDOWS\\system32\\rundll.exe"
"sys32"="winXTQn.exe"
"agfds"="C:\\DOCUME~1\\JEANNE~1\\LOCALS~1\\Temp\\U.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

=====================
cles additionnelles
=====================
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

===============
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

===============
===============
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

===============
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

===============
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

======
BHO :
======
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4AB01B3E-F6F5-4687-A91E-17B7B7B25CB7}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]

==========================

===============
Path : C:\Program Files\Internet Explorer;;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\ATI Technologies\ATI Control Panel
===============
¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\System32\i
C:\WINDOWS\WMSysPrx.prx
C:\Documents and Settings\jeanne karine\LOCAL Settings\Temp\{BFB3BD8A-6846-0A48-2F2D-89130CB5E63F}-svchost.exe
C:\Documents and Settings\jeanne karine\LOCAL Settings\Temp\{D11E69DF-ACD2-CC8E-12A1-4CC2FB510804}-mslsrv32.exe

¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe

¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch :

AGRSMMSG.EXE-0034A7F7.pf
ALG.EXE-0F138680.pf
ATI2EVXX.EXE-19D16EB9.pf
ATI2MDXX.EXE-00F23993.pf
ATIPRBXX.EXE-28AA41C0.pf
ATIPTAXX.EXE-18FE8D8B.pf
ATTRIB.EXE-39EAFB02.pf
BLASTCLN.EXE-2C69E3EA.pf
BN1.TMP-375E5411.pf
BN3.TMP-222B049F.pf
BYPASS.EXE-3A13827B.pf
CLEANMGR.EXE-1F86EA8E.pf
CMD.EXE-087B4001.pf
CONTROL.EXE-013DBFB5.pf
CSCRIPT.EXE-1C26180C.pf
ECHOX.EXE-0EC32D49.pf
EXPLORER.EXE-082F38A9.pf
FIND.EXE-0EC32F1E.pf
FINDSTR.EXE-0CA6274B.pf
FIREFOX.EXE-28641590.pf
IE4UINIT.EXE-169A5A39.pf
IEXPLORE.EXE-27122324.pf
IMAPI.EXE-0BF740A4.pf
KILL_P.EXE-15C7A895.pf
LIST_KILLEM[1].EXE-171453F4.pf
LOGAGENT.EXE-027AF92B.pf
LOGONUI.EXE-0AF22957.pf
MODE.COM-31685BAE.pf
MOFCOMP.EXE-01718E95.pf
MSDTC.EXE-0E6E4AF7.pf
MSIEXEC.EXE-2F8A8CAE.pf
MSLSRV32.EXE-0D96D7C7.pf
NOTEPAD.EXE-336351A9.pf
NTOSBOOT-B00DFAAD.pf
OSA.EXE-2CD63980.pf
PV.EXE-050BC493.pf
READER_SL.EXE-3614FA6E.pf
REG.EXE-0D2A95F7.pf
REGSVR32.EXE-25EEFE2F.pf
RUNDLL.EXE-2073B745.pf
RUNDLL32.EXE-169CA248.pf
RUNDLL32.EXE-409BCEB3.pf
RUNDLL32.EXE-42B8C0A4.pf
RUNDLL32.EXE-4499C56E.pf
SED.EXE-2A032EBB.pf
SETPATH.EXE-2D3D2E76.pf
SETUP50.EXE-362FF7C9.pf
SHMGRATE.EXE-1BA69E68.pf
SHUTDOWN.EXE-12DAD820.pf
SPUPDSVC.EXE-21B36524.pf
SVCHOST.EXE-3530F672.pf
SWREG.EXE-2A961210.pf
SYNTPENH.EXE-315D3ABC.pf
SYNTPLPR.EXE-28BB9F3B.pf
THOTKEY.EXE-38837008.pf
TOSCDSPD.EXE-1C395EB8.pf
TPSBATTM.EXE-0243976F.pf
TPSMAIN.EXE-3A835F71.pf
U.EXE-0259ADE5.pf
UNREGMP2.EXE-07CACB61.pf
UPDATE.EXE-00AD74EF.pf
UPDATE.EXE-0139A53F.pf
UPDATE.EXE-0245E177.pf
UPDATE.EXE-0AE8FA96.pf
UPDATE.EXE-0B880594.pf
UPDATE.EXE-130B8AE9.pf
UPDATE.EXE-1664E36F.pf
UPDATE.EXE-1806848C.pf
UPDATE.EXE-1A2556BC.pf
UPDATE.EXE-1C6F3A1C.pf
UPDATE.EXE-1FB96299.pf
UPDATE.EXE-2A3D7968.pf
UPDATE.EXE-2AFD73D0.pf
UPDATE.EXE-2B226AC9.pf
UPDATE.EXE-2C210950.pf
UPDATE.EXE-2C2C65DF.pf
UPDATE.EXE-2C47AD8E.pf
UPDATE.EXE-302ED40F.pf
UPDATE.EXE-30773BBB.pf
UPDATE.EXE-310BCDC4.pf
UPDATE.EXE-315B1C81.pf
UPDATE.EXE-32B831C6.pf
UPDATE.EXE-34444551.pf
UPDATE.EXE-35B70C98.pf
UPDATE.EXE-385E9E34.pf
UPDATE.EXE-38A5C2E2.pf
UPDATE.EXE-3B0C0D53.pf
USBFIX.EXE-1AADDF7F.pf
USERINIT.EXE-30B18140.pf
VERCLSID.EXE-3667BD89.pf
WMIADAP.EXE-2DF425B2.pf
WMIPRVSE.EXE-28F301A9.pf
WSCNTFY.EXE-1B24F5EB.pf
WUAUCLT.EXE-399A8E72.pf
ZCLIENTM.EXE-25C31104.pf
ZIP.EXE-020FF746.pf




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
Utilisateur anonyme
 
REDEMARRE EN MODE SANS ECHEC , puis :

▶ Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

▶ choisis l'option 2 = Mode Destruction

laisse travailler l'outil

apres les verifications , un rapport va s'ouvrir.

▶ ferme-le.

un deuxieme rapport va s'ouvrir ,

▶ colle son contenu dans ta reponse apres avoir redemarré en mode normal
0
karine38
 
Kill'em by g3n-h@ckm@n 1.0.5.2

User : Administrateur () # KARINE
Update on 07/11/2009 by g3n-h@ckm@n ::::: 20.00
Start at: 11:35:57 | 08/11/2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Celeron(R) CPU 2.80GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 37,25 Go (22,81 Go free) | NTFS
D:\ -> Disque CD-ROM


C:\WINDOWS\System32\smss.exe 128
C:\WINDOWS\system32\csrss.exe 176
C:\WINDOWS\system32\winlogon.exe 200
C:\WINDOWS\system32\services.exe 244
C:\WINDOWS\system32\lsass.exe 256
C:\WINDOWS\system32\svchost.exe 408
C:\WINDOWS\system32\svchost.exe 468
C:\WINDOWS\system32\svchost.exe 548
C:\WINDOWS\Explorer.EXE 936
C:\Documents and Settings\jeanne karine\Bureau\List_Killem.exe 1372
C:\WINDOWS\system32\cmd.exe 1384
C:\WINDOWS\System32\wbem\wmiprvse.exe 1468
C:\Documents and Settings\Administrateur\Local Settings\Temp\5D.tmp\pv.exe 1544

Fichiers analysés :
=================


¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
"C:\WINDOWS\System32\i"
"C:\WINDOWS\System32\rundll.exe"
"C:\WINDOWS\WMSysPrx.prx"


¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers :

Quarantaine :

i.Kill'em
qmgr0.dat.Kill'em
qmgr1.dat.Kill'em
rundll.exe.Kill'em
WMSysPrx.prx.Kill'em


===================================
tentative de correction du registre
===================================
¤¤¤¤¤¤¤¤¤¤ Verification :


===============
Path : C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\ATI Technologies\ATI Control Panel
===============
¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :


¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe

¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch :

NTOSBOOT-B00DFAAD.pf




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 6 / 11
Utilisateur anonyme
 
ok on avancce :

Télécharge OTL de OLDTimer

enregistre le sur ton Bureau.

▶ Double clic ( pour vista => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant scan all users

▶ règle-le sur "60 Days"

▶ dans la colonne de gauche , mets tout sur all

ne modifie pas ceci :

"files created whithin" et "files modified whithin"

▶Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : https://www.cjoint.com/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt".
0
karine38
 
https://www.cjoint.com/?lis7X8ACnr pour le OTL.txt

https://www.cjoint.com/?litbfhacjg extra.txt
0
Réponse 7 / 11
Utilisateur anonyme
 
▶ Double clic sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous Customs Scans/Fixes :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
u.exe
rundll.exe
winXTQn.exe

:OTL
O2 - BHO: (no name) - {4AB01B3E-F6F5-4687-A91E-17B7B7B25CB7} - C:\WINDOWS\system32\apphel.dll ()
O4 - HKLM..\Run: [agfds] C:\DOCUME~1\JEANNE~1\LOCALS~1\Temp\U.exe File not found
O4 - HKLM..\Run: [Windows Firevall Control Center] C:\WINDOWS\system32\rundll.exe ()
O4 - HKU\S-1-5-21-3064486791-1410597960-272977559-1006..\Run: [Windows Firevall Control Center] C:\WINDOWS\system32\rundll.exe ()
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38153.9471990741 (Reg Error: Key error.)

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"PadTouch"=-
"sys32"=-
"Adobe Reader Speed Launcher"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks "{00A6FAF6-072E-44cf-8957-5838F569A31D}]
[-HKEY_LOCAL_MACHINE\software\Fun Web Products]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}]
[-HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239}]
[-HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}]
[-HKEY_CLASSES_ROOT\EoRezoBHO.EoBho]
[-HKEY_CLASSES_ROOT\EoRezoBHO.EoBho.1]
[-HKEY_CLASSES_ROOT\interface\{cf54be1c-9359-4395-8533-1657cf209cfe}]
[-HKEY_CLASSES_ROOT\TypeLib\{D518921A-4A03-425E-9873-B9A71756821E}]
[-HKEY_CURRENT_USER\SOFTWARE\AppDataLow\software\MyWebSearch]
[-HKEY_CURRENT_USER\SOFTWARE\EoRezo]
[-HKEY_CURRENT_USER\SOFTWARE\fcn]
[-HKEY_CURRENT_USER\SOFTWARE\ItsLabel]
[-HKEY_CURRENT_USER\SOFTWARE\MediaHoldings]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\EoRezoBHO.dll]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}]
[-HKEY_LOCAL_MACHINE\Software\Classes\EoRezoBHO.EoBho]
[-HKEY_LOCAL_MACHINE\Software\Classes\EoRezoBHO.EoBho.1]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D518921A-4A03-425E-9873-B9A71756821E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo]
[-HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive]
[-HKEY_LOCAL_MACHINE\SOFTWARE\ItsLabel]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ItsTV_is1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch]


:files
C:\Kill'em
C:\U.exe
C:\WINDOWS\System32\rundll.exe
C:\Documents and Settings\jeanne karine\Bureau\List_Killem.exe
C:\Documents and Settings\jeanne karine\RefEdit.exd
C:\WINDOWS\System32\mini.exe
C:\myouh.exe
C:\WINDOWS\mslsrv32.exe
C:\www.huddletogether.com
C:\WINDOWS\winXTQn.exe
C:\messi.exe

:commands
[emptytemp]
[start explorer]
[reboot]

▶ Clique sur RunFix pour lancer la suppression.


▶ Poste le rapport.
0
karine38
 
sa fais planter le pc quand j'execute le programme.

ça fais deux fois que je recommence donc je persiste ou on fais ça par le biais de hijackthis
0
karine38 > karine38
 
toujour sur cette ligne [-HKEY_LOCAL_MACHINE\Software\Classes\EoRezoBHO.EoBho]
0
karine38 > karine38
 
plusieurs chosesj'ai suprimer les lignes quifaisais planter OTL.ex et sa a fonctionné du coup je n'ai pas supprimer deux lignes parcontre le reste a bien été fixer par le logiciel voilà le .txt aprés quatre essais
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 1102268 bytes
->Temporary Internet Files folder emptied: 49286 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49152 bytes

User: jeanne karine
->Temp folder emptied: 70453743 bytes
->Temporary Internet Files folder emptied: 9319841 bytes
->FireFox cache emptied: 40999663 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19528 bytes
%systemroot%\System32 .tmp files removed: 15872 bytes
Windows Temp folder emptied: 24983257 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 140,25 mb


OTL by OldTimer - Version 3.1.4.0 log created on 11082009_211108

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
0
Réponse 8 / 11
Utilisateur anonyme
 
salut ok erreur de script , effectivemment il ne risquait pas de fonctionner refais avec ce script :



:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
u.exe
rundll.exe
winXTQn.exe

:OTL
O2 - BHO: (no name) - {4AB01B3E-F6F5-4687-A91E-17B7B7B25CB7} - C:\WINDOWS\system32\apphel.dll ()
O4 - HKLM..\Run: [agfds] C:\DOCUME~1\JEANNE~1\LOCALS~1\Temp\U.exe File not found
O4 - HKLM..\Run: [Windows Firevall Control Center] C:\WINDOWS\system32\rundll.exe ()
O4 - HKU\S-1-5-21-3064486791-1410597960-272977559-1006..\Run: [Windows Firevall Control Center] C:\WINDOWS\system32\rundll.exe ()
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38153.9471990741 (Reg Error: Key error.)

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"PadTouch"=-
"sys32"=-
"Adobe Reader Speed Launcher"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00A6FAF6-072E-44cf-8957-5838F569A31D}"=-
[-HKEY_LOCAL_MACHINE\software\Fun Web Products]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
"{C7B76B90-3455-4AE6-A752-EAC4D19689E5}"=-
[-HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239}]
[-HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}]
[-HKEY_CLASSES_ROOT\EoRezoBHO.EoBho]
[-HKEY_CLASSES_ROOT\EoRezoBHO.EoBho.1]
[-HKEY_CLASSES_ROOT\interface\{cf54be1c-9359-4395-8533-1657cf209cfe}]
[-HKEY_CLASSES_ROOT\TypeLib\{D518921A-4A03-425E-9873-B9A71756821E}]
[-HKEY_CURRENT_USER\SOFTWARE\AppDataLow\software\MyWebSearch]
[-HKEY_CURRENT_USER\SOFTWARE\EoRezo]
[-HKEY_CURRENT_USER\SOFTWARE\fcn]
[-HKEY_CURRENT_USER\SOFTWARE\ItsLabel]
[-HKEY_CURRENT_USER\SOFTWARE\MediaHoldings]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\EoRezoBHO.dll]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}]
[-HKEY_LOCAL_MACHINE\Software\Classes\EoRezoBHO.EoBho]
[-HKEY_LOCAL_MACHINE\Software\Classes\EoRezoBHO.EoBho.1]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D518921A-4A03-425E-9873-B9A71756821E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo]
[-HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive]
[-HKEY_LOCAL_MACHINE\SOFTWARE\ItsLabel]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ItsTV_is1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch]


:files
C:\Kill'em
C:\U.exe
C:\WINDOWS\System32\rundll.exe
C:\Documents and Settings\jeanne karine\Bureau\List_Killem.exe
C:\Documents and Settings\jeanne karine\RefEdit.exd
C:\WINDOWS\System32\mini.exe
C:\myouh.exe
C:\WINDOWS\mslsrv32.exe
C:\www.huddletogether.com
C:\WINDOWS\winXTQn.exe
C:\messi.exe

:commands
[emptytemp]
[start explorer]
[reboot]
0
karine38
 
non dsl sa plante toujours sur la même ligne (voire post precedent). l'ordi et super lent et rebooter le PC a chaque fois me fais perdre 30 minutes. si possible essaye de donner le script correct ou passe a la désinfection. en tout cas merci de ton aide
0
Réponse 9 / 11
Utilisateur anonyme
 
▶ Télécharge : Gmer (by Przemyslaw Gmerek)


▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

▶ sur les lignes rouge:

▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
0
karine38
 
pas de ligne rouge dans l'utilitairevoici le rapport:
GMER 1.0.15.15220 - http://www.gmer.net
Rootkit scan 2009-11-11 12:15:14
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\JEANNE~1\LOCALS~1\Temp\awtdqpod.sys


---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\drivers\Hfl01.sys Accès refusé.

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Internet Explorer\iexplore.exe[1324] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 40D85435 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1324] USER32.dll!SetWindowsHookExW 7E3A820F 5 Bytes JMP 40E597F5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1324] USER32.dll!CallNextHookEx 7E3AB3C6 5 Bytes JMP 40E4CE79 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1324] USER32.dll!CreateWindowExW 7E3AD0A3 5 Bytes JMP 40E5D67C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1324] USER32.dll!UnhookWindowsHookEx 7E3AD5F3 5 Bytes JMP 40DC466C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1324] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 40F5418F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1324] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 40F540C1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1324] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 40F5412C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1324] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 40F53F92 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1324] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 40F53FF4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1324] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 40F541F2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1324] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 40F54056 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1324] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 40E5D6D8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[1324] ole32.dll!OleLoadFromStream 774E9C85 5 Bytes JMP 40F544F7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
? C:\WINDOWS\System32\svchost.exe[1680] image checksum mismatch; number of sections mismatch; time/date stamp mismatch; unknown module: DNSAPI.dllunknown module: gdiplus.dll
.text C:\Program Files\Internet Explorer\iexplore.exe[2016] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 40D85435 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2016] USER32.dll!CreateWindowExW 7E3AD0A3 5 Bytes JMP 40E5D67C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2016] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 40F5418F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2016] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 40F540C1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2016] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 40F5412C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2016] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 40F53F92 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2016] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 40F53FF4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2016] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 40F541F2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2016] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 40F54056 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Program Files\Internet Explorer\iexplore.exe[1324] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [00941ACB] C:\Program Files\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] [77DA6C27] C:\WINDOWS\system32\ADVAPI32.dll (API avancées Windows 32/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] [77DA7ABB] C:\WINDOWS\system32\ADVAPI32.dll (API avancées Windows 32/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] [77DA7852] C:\WINDOWS\system32\ADVAPI32.dll (API avancées Windows 32/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] [77DAEAE7] C:\WINDOWS\system32\ADVAPI32.dll (API avancées Windows 32/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] [77DAF00C] C:\WINDOWS\system32\ADVAPI32.dll (API avancées Windows 32/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] [77DCC238] C:\WINDOWS\system32\ADVAPI32.dll (API avancées Windows 32/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] [77DA798B] C:\WINDOWS\system32\ADVAPI32.dll (API avancées Windows 32/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 00000000
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] [76EE689B] C:\WINDOWS\System32\DNSAPI.dll (DNS Client API DLL/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] [76EE4C42] C:\WINDOWS\System32\DNSAPI.dll (DNS Client API DLL/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] [76ED5AD3] C:\WINDOWS\System32\DNSAPI.dll (DNS Client API DLL/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] 00000000
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] [77EFEF1C] C:\WINDOWS\system32\GDI32.dll (GDI Client DLL/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 00000000
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] [7C80AA6C] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] [7C80176F] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] [7C80236B] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] [7C802213] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] [7C8104CC] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] [7C865C7F] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] [7C8309E9] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] [7C8350EF] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] [7C810BBC] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] [7C8024B7] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] [7C812FBD] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] [7C81127A] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] [7C80B9A5] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] [7C80950A] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] [7C81CB12] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] [7C80C0F8] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] [7C802446] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] [7C81CB3B] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] [7C82FC08] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] [7C8097D0] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] [7C809BE7] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] [7C8106D7] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] [7C80E9DF] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] [7C80EABB] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] [7C830D7C] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] [7C809AA9] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] [7C809EA1] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] [7C80BB41] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] [7C80934A] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] [7C812C56] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] [7C9200C4] C:\WINDOWS\system32\ntdll.dll (DLL Couche NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] [7C91FF2D] C:\WINDOWS\system32\ntdll.dll (DLL Couche NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] [7C809F19] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] [7C802530] C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] 00000000
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] [77F6C4CE] C:\WINDOWS\system32\SHLWAPI.dll (Bibliothèque d'utilitaires légers du Shell/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] [77F54EE6] C:\WINDOWS\system32\SHLWAPI.dll (Bibliothèque d'utilitaires légers du Shell/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] [77F4827C] C:\WINDOWS\system32\SHLWAPI.dll (Bibliothèque d'utilitaires légers du Shell/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 00000000
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] [7E3A8717] C:\WINDOWS\system32\USER32.dll (DLL client de l'API Utilisateur de Windows XP/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] [7E3986C7] C:\WINDOWS\system32\USER32.dll (DLL client de l'API Utilisateur de Windows XP/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] [7E39A8AD] C:\WINDOWS\system32\USER32.dll (DLL client de l'API Utilisateur de Windows XP/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] 00000000
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] [404B9088] C:\WINDOWS\system32\WININET.dll (Internet Extensions for Win32/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] [404BDEAE] C:\WINDOWS\system32\WININET.dll (Internet Extensions for Win32/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] [404CD690] C:\WINDOWS\system32\WININET.dll (Internet Extensions for Win32/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] [404B654B] C:\WINDOWS\system32\WININET.dll (Internet Extensions for Win32/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] [404B878D] C:\WINDOWS\system32\WININET.dll (Internet Extensions for Win32/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] [404BD508] C:\WINDOWS\system32\WININET.dll (Internet Extensions for Win32/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] [404CEE89] C:\WINDOWS\system32\WININET.dll (Internet Extensions for Win32/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] 00000000
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] [719F4211] C:\WINDOWS\System32\WS2_32.dll (Windows Socket 2.0 32-Bit DLL/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] [719F4C27] C:\WINDOWS\System32\WS2_32.dll (Windows Socket 2.0 32-Bit DLL/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] [719F676F] C:\WINDOWS\System32\WS2_32.dll (Windows Socket 2.0 32-Bit DLL/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] [719F4A07] C:\WINDOWS\System32\WS2_32.dll (Windows Socket 2.0 32-Bit DLL/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] [719F4521] C:\WINDOWS\System32\WS2_32.dll (Windows Socket 2.0 32-Bit DLL/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] [719F3D10] C:\WINDOWS\System32\WS2_32.dll (Windows Socket 2.0 32-Bit DLL/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] [719F2FF7] C:\WINDOWS\System32\WS2_32.dll (Windows Socket 2.0 32-Bit DLL/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] [719F2F51] C:\WINDOWS\System32\WS2_32.dll (Windows Socket 2.0 32-Bit DLL/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1680] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] [719F2EE1] C:\WINDOWS\System32\WS2_32.dll (Windows Socket 2.0 32-Bit DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs Hfl01.sys
Device \FileSystem\Mup \Dfs Hfl01.sys

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \FileSystem\RAW \Device\RawTape Hfl01.sys
Device \FileSystem\MRxDAV \Device\WebDavRedirector Hfl01.sys
Device \FileSystem\Mup \Device\Mup Hfl01.sys
Device \FileSystem\RAW \Device\RawDisk Hfl01.sys
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver Hfl01.sys
Device \FileSystem\MRxSmb \Device\LanmanRedirector Hfl01.sys
Device \FileSystem\RAW \Device\RawCdRom Hfl01.sys
Device \FileSystem\Mup \Device\WinDfs\Root Hfl01.sys
Device \FileSystem\Cdfs \Cdfs Hfl01.sys

---- EOF - GMER 1.0.15 ----
0
Réponse 10 / 11
Redbart Messages postés 22276 Date d'inscription   Statut Membre Dernière intervention   3 288
 
http://www.commentcamarche.net/...
0
Réponse 11 / 11
Utilisateur anonyme
 
salut desole j ai du m absenter

▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

▶ clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

C:\WINDOWS\system32\drivers\Hfl01.sys


* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
0

Discussions similaires

Rootkit sur pc windows 10
mic42 -
bazfile -

1 réponse
Rootkit : chacun son tour !!! HELP ! Help !
Reciff -
verni29 -

23 réponses
WIN32 KAMSO PUIS DETECTION D'UN ROOTKIT
BACARA -
BACARA -

61 réponses