Infection Trojan - dwasdwsv.dll.vir

Résolu
pives Messages postés 437 Statut Membre -  
 Lyonnais92 -
Bonjour,

mon pc ramait donc j'ai fais un scan avec Avast qui alors trouvé un trojan:

dwasdwsv.dll.vir


Que dois-je faire pour m'en débarrasser ?

Merci de vôtre aide
A voir également:

56 réponses

Précédent
Réponse 21 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
essaies avec ca pour le virer

https://www.commentcamarche.net/telecharger/utilitaires/19405-revo-uninstaller/
0
pives Messages postés 437 Statut Membre 32
 
Avira antivir ne figure pas dans les applications (ni avec ca, ni avec CCleaner, ni dans le panneau de config)

...
0
Réponse 22 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
refais moi un nouveau rsit
dans le dernier, j'ai vu aussi des traces de norton !

• Télécharge Random's System Information Tool (RSIT) de Random/Random.

http://images.malwareremoval.com/random/RSIT.exe

• Enregistre le sur ton Bureau.

• Double clique sur RSIT.exe pour lancer l'outil.

• Clique sur "Continue" à l'écran Disclaimer.

• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande)

et tu devras accepter la licence.

• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

Les rapports se trouvent à cet endroit:
C:\rsit\info.txt
C:\rsit\log.txt



0
pives Messages postés 437 Statut Membre 32
 
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-12-11 14:49:57
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 4 GB (13%) free of 30 GB
Total RAM: 895 MB (55% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:50:02, on 11/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\RSIT(2).exe
C:\Program Files\trend micro\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "E:\LOGICI~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\LOGICI~1\Office\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira Upgrade Service (AntiVirUpgradeService) - Unknown owner - C:\WINDOWS\TEMP\AVSETUP_4b1fb622\basic\avupgsvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - E:\Logiciels\Spyware Terminator\sp_rsser.exe
0
pives Messages postés 437 Statut Membre 32
 
Pour Norton c'est bizarre car il n'a jamais été installé sur cet ordinateur !
0
Réponse 23 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
2009-11-29 15:30:22 ----D---- C:\Documents and Settings\All Users\Application Data\Symantec
2009-11-29 15:30:22 ----D---- C:\Documents and Settings\All Users\Application Data\Norton
2009-11-29 15:22:55 ----D---- C:\Documents and Settings\All Users\Application Data\NortonInstaller

je ragarde le reste...


0
Réponse 24 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
avast est toujour là

https://www.commentcamarche.net/telecharger/securite/22859-utilitaire-de-desinstallation-de-avast/

norton

https://www.commentcamarche.net/faq/2453-supprimer-desinstaller-norton-antivirus-norton-internet-security

apres ca retentes l'installation d'antivir

tiens moi au courant
0
pives Messages postés 437 Statut Membre 32
 
C'est pareil, l'installation détecte une ancienne version et bloque ...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
ton soucis n'est pas simple

je te joins des liens

tentes d'effectuer les manip indiquées au post 29

https://forums.commentcamarche.net/forum/affich-13516359-impossible-d-installer-antivir?page=2#29

puis au post 38

https://forums.commentcamarche.net/forum/affich-13516359-impossible-d-installer-antivir?page=2#38

je ne te garantie rien, mais ce qui ai décrit semble probant, ainsi que les intervenants

tiens moi au courant
0
pives Messages postés 437 Statut Membre 32
 
Ok, merci bien car le post indiqué m'a aidé a réglé le problème (http://dl1.pro.antivir.de/down/windows/registrycleaner_en.zip). Du coup Avira est installé proprement...
Y a t-il maintenant des choses a faire ?
0
Réponse 26 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
fêter ca...ca s'impose !

tout est ok pour moi...bon surf
0
pives Messages postés 437 Statut Membre 32
 
Désolé de faire les rabat-joie mais j'ai toujours de gros ralentissements :(

Particulièrement quand j'utilise Internet (mozilla et IE sont à jour pourtant). J'ai remarqué que dès que je sollicite un chargement quelconque (téléchargement, même une vidéo sur youtube par ex) c'est la catastrophe: le voyant est allumé en continu et il est impossible de faire quoi que ce soit.
Ce qui est étrange c'est que cela n'avais pas lieu il y a encore 2 jours et jamais auparavant. Comme si une application très gourmande tournait en parallèle, ou quelqu'un d'autre...

Je commence à ne plus rien comprendre après tout ce que tu ma fait faire cela devrait aller non ?
rappel: désinfection, défragmentation, vérification des erreurs, mises à jour diverses, nouveau antivirus, pleins de scans, j'ai même passer l'aspirateur dans la tour !

Désolé, tu dois commencer a perdre patience... Je ne te demande pas nécessairement de régler le problème, mais ce genre d'aléas est-il courant ? Quelles seraient les pistes de solutions ? Est-ce le système ou la machine ?

ps: si ca continu je sens que je vais formater et puis c'est tout !
0
Réponse 27 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
tu as bien fais le post 40 ?
0
pives Messages postés 437 Statut Membre 32
 
oui, j'ai fait tout ce qui étais indiqué sur tes posts en prenant soin de redémarrer quand nécessaire et sur chacunes de mes sessions (administrateur et utilisateur)

...
0
Réponse 28 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
tu dois commencer a perdre patience... moi non, mais toi oui

(sourire)

relances RSIT et postes le rapport log

je vais regarder, et demander l'avis à un "collègue" confirmé
0
pives Messages postés 437 Statut Membre 32
 
Logfile of random's system information tool 1.06 (written by random/random)
Run by Pierre-yves at 2009-12-12 17:57:41
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 4 GB (13%) free of 30 GB
Total RAM: 895 MB (0% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:59:25, on 12/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
E:\LOGICI~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
E:\Logiciels\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Pierre-yves\Bureau\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\Pierre-yves.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.windows.fr/ie8/bienvenue
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "E:\LOGICI~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\LOGICI~1\Office\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - E:\Logiciels\Spyware Terminator\sp_rsser.exe
0
Réponse 29 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
en attendant le passage d'un ami

desinstalles Spyware Terminator, pas efficace et ralenti le pc
0
Réponse 30 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
1) désinstalles ad-aware

2) Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

▶ Télécharge List&Kill'em et enregistre le sur ton bureau

http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem.zip

Il ne necessite pas d'installation

▶double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

▶laisse travailler l'outil

à la fin du scan la fenêtre se referme seule.

ouvre C:\List'em.txt

▶colle le contenu dans ta prochaine réponse

0
pives Messages postés 437 Statut Membre 32
 
J'ai viré Spyware terminator et Ad-Ware, voila List'em:

List'em by g3n-h@ckm@n 1.1.5.1

Thx to Chiquitine29.....& CCM team

User : Pierre-yves (Administrateurs) # PERSO-732005DCD
Update on 11/12/2009 by g3n-h@ckm@n ::::: 20:30
Start at: 18:57:36 | 12/12/2009
Contact : g3n-h@ckm@n sur CCM

AMD Athlon(tm) 64 Processor 3200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 29,29 Go (3,77 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local | 43,95 Go (7,52 Go free) | NTFS
F:\ -> Disque CD-ROM

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe 884
C:\WINDOWS\system32\csrss.exe 1196
C:\WINDOWS\system32\winlogon.exe 1248
C:\WINDOWS\system32\services.exe 1324
C:\WINDOWS\system32\lsass.exe 1336
C:\WINDOWS\system32\svchost.exe 1532
C:\WINDOWS\system32\svchost.exe 1580
C:\WINDOWS\System32\svchost.exe 1692
C:\WINDOWS\system32\svchost.exe 1768
C:\WINDOWS\system32\svchost.exe 1912
C:\WINDOWS\Explorer.EXE 488
C:\WINDOWS\system32\spoolsv.exe 920
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1012
C:\WINDOWS\system32\RUNDLL32.EXE 964
C:\Program Files\Java\jre6\bin\jusched.exe 956
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1212
C:\Program Files\SuperCopier2\SuperCopier2.exe 1640
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe 1744
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe 1984
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1216
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe 1456
C:\Program Files\Java\jre6\bin\jqs.exe 1540
C:\WINDOWS\system32\nvsvc32.exe 1664
C:\WINDOWS\system32\PnkBstrA.exe 1784
C:\WINDOWS\system32\svchost.exe 1380
C:\WINDOWS\system32\wbem\wmiapsrv.exe 3500
C:\WINDOWS\System32\alg.exe 3612
C:\Program Files\Mozilla Firefox\firefox.exe 408
C:\WINDOWS\system32\msiexec.exe 3068
C:\WINDOWS\system32\rundll32.exe 580
C:\WINDOWS\system32\wscntfy.exe 3992
E:\Logiciels\WinACE\WinAce.exe 2308
C:\Documents and Settings\Pierre-yves\Local Settings\temp\List_Kill'em.scr 1944
C:\WINDOWS\system32\cmd.exe 3556
C:\WINDOWS\system32\wbem\wmiprvse.exe 3688
C:\Documents and Settings\Pierre-yves\Local Settings\temp\1B.tmp\pv.exe 916

======================
Keys "Run"
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SuperCopier2.exe REG_SZ C:\Program Files\SuperCopier2\SuperCopier2.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
High Definition Audio Property Page Shortcut REG_SZ HDAShCut.exe
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"
avgnt REG_SZ "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
HideLegacyLogonScripts REG_DWORD 0 (0x0)
HideLogoffScripts REG_DWORD 0 (0x0)
RunLogonScriptSync REG_DWORD 1 (0x1)
RunStartupScriptSync REG_DWORD 0 (0x0)
HideStartupScripts REG_DWORD 0 (0x0)

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun REG_DWORD 145 (0x91)
NoLowDiskSpaceChecks REG_DWORD 0 (0x0)
NoDriveAutoRun REG_DWORD 145 (0x91)
HonorAutoRunSetting REG_DWORD 0 (0x0)

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 145 (0x91)
NoDriveTypeAutoRun REG_DWORD 145 (0x91)
NoLowDiskSpaceChecks REG_DWORD 0 (0x0)
HonorAutoRunSetting REG_DWORD 0 (0x0)

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt32chain]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptnet]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cscdll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ScCertProp]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SensLogn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\termsrv]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlballoon]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
E:\Logiciels\Azureus\Azureus.exe REG_SZ E:\Logiciels\Azureus\Azureus.exe:*:Enabled:Azureus
%windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
C:\Program Files\Mozilla Firefox\firefox.exe REG_SZ C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Firefox
C:\WINDOWS\system32\PnkBstrA.exe REG_SZ C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA
C:\WINDOWS\system32\PnkBstrB.exe REG_SZ C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe REG_SZ C:\Program Files\Veoh Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client
C:\Program Files\MSN Messenger\msnmsgr.exe REG_SZ C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1
C:\Program Files\MSN Messenger\livecall.exe REG_SZ C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)
C:\Program Files\VideoLAN\VLC\vlc.exe REG_SZ C:\Program Files\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player
C:\Program Files\Messenger\msmsgs.exe REG_SZ C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger
C:\Program Files\Skype\Plugin Manager\skypePM.exe REG_SZ C:\Program Files\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
E:\Logiciels\HomePlayer\HomePlayer.exe REG_SZ E:\Logiciels\HomePlayer\HomePlayer.exe:*:Enabled:HomePlayer
E:\Logiciels\HomePlayer\VLC\vlc.exe REG_SZ E:\Logiciels\HomePlayer\VLC\vlc.exe:*:Enabled:VLC HomePlayer

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
%windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
C:\Program Files\Windows Live\Messenger\msnmsgr.exe REG_SZ C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
C:\Program Files\Windows Live\Messenger\livecall.exe REG_SZ C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)
C:\Program Files\MSN Messenger\msnmsgr.exe REG_SZ C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1
C:\Program Files\MSN Messenger\livecall.exe REG_SZ C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)

===============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{C451C08A-EC37-45DF-AAAD-18B51AB5E837}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3
EapHost : 0x3
SharedAccess : 0x2
wuauserv : 0x2

=========

=======
Drive :
=======

D‚fragmenteur de disque Windows
Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc.

Rapport d'analyse
29,29 Go total, 3,77 Go libre (12%), 5% fragment‚ (fragmentation du fichier 11%)

Il ne vous est pas n‚cessaire de d‚fragmenter ce volume.

==========
Programs
==========

7-Zip
Adobe
Analog Devices
Apple Software Update
ASIO4ALL v2
AVG
Avira
AviSynth 2.5
Axon Data
CCleaner
Collab
Combined Community Codec Pack
ComPlus Applications
DAEMON Tools Pro
DIFX
directx
DivX
Fichiers communs
Google
Icone
Image-Line
InstallShield Installation Information
Internet Explorer
Inventel
Java
K-Lite Codec Pack
LETMIN
Malwarebytes' Anti-Malware
microsoft frontpage
Microsoft.NET
Movie Maker
Mozilla Firefox
MSBuild
MSN Gaming Zone
MSXML 4.0
MSXML 6.0
Nero
NetMeeting
Online Services
OpenOffice.org 2.3
Outlook Express
Paint.NET
PDFCreator Toolbar
Real
Reference Assemblies
Seagate Software
Services en ligne
Sony
Spybot - Search & Destroy
SuperCopier2
Trend Micro
TuneUp Utilities 2009
Uninstall Information
Veoh Networks
VideoLAN
VID_0E8F&PID_3013
VS Revo Group
Vstplugins
Wanadoo
Windows Media Connect 2
Windows Media Player
Windows NT
WindowsUpdate
WinRAR
xerox

¤¤¤¤¤¤¤¤¤¤ Files/folders :

C:\Documents and Settings\All Users\Application Data\QTSBandwidthCache
C:\WINDOWS\System32\dumphive.exe
C:\WINDOWS\System32\SET84.tmp
C:\WINDOWS\System32\SET89.tmp
C:\WINDOWS\System32\SET90.tmp
C:\WINDOWS\System32\SET99.tmp
C:\WINDOWS\System32\SET9B.tmp
C:\WINDOWS\System32\SET9E.tmp
C:\WINDOWS\System32\setb0.tmp
C:\WINDOWS\System32\SrchSTS.exe
C:\WINDOWS\System32\tmp.reg
C:\WINDOWS\System32\VACFix.exe
C:\WINDOWS\System32\VCCLSID.exe
C:\WINDOWS\System32\WS2Fix.exe
C:\Documents and Settings\Pierre-yves\Application Data\Desktopicon

¤¤¤¤¤¤¤¤¤¤ Keys :

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv

=========
Rootkits
=========

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-12 19:00:07
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Pro\"
"h0"=dword:00000000
"hdf12"=hex:de,66,36,89,47,50,e1,5c,6c,a1,12,3d,c1,48,35,45,15,6c,f5,d9,53,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,7f,06,b3,2c,be,d0,b2,c1,13,03,1c,84,41,07,ec,6d,e1,..
"hdf12"=hex:37,10,ae,e5,67,6c,47,8f,3f,dc,d7,15,fc,c8,e0,8e,fb,5b,82,15,7f,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:ec,8e,de,64,0e,88,f9,bc,57,a8,b3,37,a0,93,32,61,6c,38,df,87,d8,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002]
"a0"=hex:20,01,00,00,eb,59,eb,e1,c0,13,bd,e3,a7,d1,95,d6,ec,0a,eb,b3,3e,..
"hdf12"=hex:94,61,41,9b,15,e8,b1,1c,13,80,65,2f,81,4c,0f,23,43,d1,63,e1,73,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0]
"hdf12"=hex:c5,ec,f1,65,8e,d3,4b,12,5c,e2,6f,60,f0,72,cb,de,5e,82,60,ef,86,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Pro\"
"h0"=dword:00000000
"hdf12"=hex:de,66,36,89,47,50,e1,5c,6c,a1,12,3d,c1,48,35,45,15,6c,f5,d9,53,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,7f,06,b3,2c,be,d0,b2,c1,13,03,1c,84,41,07,ec,6d,e1,..
"hdf12"=hex:eb,db,f4,e7,7d,2c,8c,cc,ee,e0,20,01,bd,2b,b8,6c,49,be,1d,0e,8b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:7c,3f,fb,4c,d2,7c,7d,de,7a,26,1a,fa,e5,d0,83,89,0c,98,c1,e7,0d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Pro\"
"h0"=dword:00000000
"hdf12"=hex:de,66,36,89,47,50,e1,5c,6c,a1,12,3d,c1,48,35,45,15,6c,f5,d9,53,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,7f,06,b3,2c,be,d0,b2,c1,13,03,1c,84,41,07,ec,6d,e1,..
"hdf12"=hex:37,10,ae,e5,67,6c,47,8f,3f,dc,d7,15,fc,c8,e0,8e,fb,5b,82,15,7f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:ec,8e,de,64,0e,88,f9,bc,57,a8,b3,37,a0,93,32,61,6c,38,df,87,d8,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002]
"a0"=hex:20,01,00,00,eb,59,eb,e1,c0,13,bd,e3,a7,d1,95,d6,ec,0a,eb,b3,3e,..
"hdf12"=hex:94,61,41,9b,15,e8,b1,1c,13,80,65,2f,81,4c,0f,23,43,d1,63,e1,73,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0]
"hdf12"=hex:c5,ec,f1,65,8e,d3,4b,12,5c,e2,6f,60,f0,72,cb,de,5e,82,60,ef,86,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x83b83020
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x83bbf8d0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 31 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
Désactiver le TeaTimer de Spybot (Merci à Nico et nathandre):
Pour désactiver le TeaTimer :
=> Ouvrir Spybot S&D
=> Dans le menu "Mode", séléctionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le réouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé

Spybot va géner les outils


............................

Suppression :

REDEMARRE EN MODE SANS ECHEC ,

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

puis :

▶ Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

▶ choisis l'option 2 = Mode Destruction

laisse travailler l'outil

▶ colle le contenu de C:\Kill'em.txt dans ta réponse après avoir redémarré en mode normal
0
pives Messages postés 437 Statut Membre 32
 
Scan

List'em by g3n-h@ckm@n 1.1.5.1

Thx to Chiquitine29.....& CCM team

User : Administrateur (Administrateurs) # PERSO-732005DCD
Update on 11/12/2009 by g3n-h@ckm@n ::::: 20:30
Start at: 19:20:24 | 12/12/2009
Contact : g3n-h@ckm@n sur CCM

AMD Athlon(tm) 64 Processor 3200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 29,29 Go (3,81 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local | 43,95 Go (7,52 Go free) | NTFS
F:\ -> Disque CD-ROM

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe 524
C:\WINDOWS\system32\csrss.exe 892
C:\WINDOWS\system32\winlogon.exe 964
C:\WINDOWS\system32\services.exe 1136
C:\WINDOWS\system32\lsass.exe 1148
C:\WINDOWS\system32\svchost.exe 1476
C:\WINDOWS\system32\svchost.exe 1612
C:\WINDOWS\system32\svchost.exe 348
C:\WINDOWS\system32\svchost.exe 408
C:\WINDOWS\system32\svchost.exe 568
C:\WINDOWS\Explorer.EXE 1168
C:\Documents and Settings\Administrateur\Local Settings\temp\List_Kill'em.scr 1876
C:\WINDOWS\system32\cmd.exe 1256
C:\WINDOWS\system32\wbem\wmiprvse.exe 532
C:\Documents and Settings\Administrateur\Local Settings\temp\3.tmp\pv.exe 276

======================
Keys "Run"
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
High Definition Audio Property Page Shortcut REG_SZ HDAShCut.exe
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"
avgnt REG_SZ "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
HideLegacyLogonScripts REG_DWORD 0 (0x0)
HideLogoffScripts REG_DWORD 0 (0x0)
RunLogonScriptSync REG_DWORD 1 (0x1)
RunStartupScriptSync REG_DWORD 0 (0x0)
HideStartupScripts REG_DWORD 0 (0x0)

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun REG_DWORD 145 (0x91)
NoFolderOptions REG_DWORD 0 (0x0)

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 145 (0x91)
NoDriveTypeAutoRun REG_DWORD 145 (0x91)
NoLowDiskSpaceChecks REG_DWORD 0 (0x0)
HonorAutoRunSetting REG_DWORD 0 (0x0)

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt32chain]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptnet]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cscdll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ScCertProp]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SensLogn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\termsrv]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlballoon]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
E:\Logiciels\Azureus\Azureus.exe REG_SZ E:\Logiciels\Azureus\Azureus.exe:*:Enabled:Azureus
%windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
C:\Program Files\Mozilla Firefox\firefox.exe REG_SZ C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Firefox
C:\WINDOWS\system32\PnkBstrA.exe REG_SZ C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA
C:\WINDOWS\system32\PnkBstrB.exe REG_SZ C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe REG_SZ C:\Program Files\Veoh Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client
C:\Program Files\MSN Messenger\msnmsgr.exe REG_SZ C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1
C:\Program Files\MSN Messenger\livecall.exe REG_SZ C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)
C:\Program Files\VideoLAN\VLC\vlc.exe REG_SZ C:\Program Files\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player
C:\Program Files\Messenger\msmsgs.exe REG_SZ C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger
C:\Program Files\Skype\Plugin Manager\skypePM.exe REG_SZ C:\Program Files\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
E:\Logiciels\HomePlayer\HomePlayer.exe REG_SZ E:\Logiciels\HomePlayer\HomePlayer.exe:*:Enabled:HomePlayer
E:\Logiciels\HomePlayer\VLC\vlc.exe REG_SZ E:\Logiciels\HomePlayer\VLC\vlc.exe:*:Enabled:VLC HomePlayer

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
%windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
C:\Program Files\Windows Live\Messenger\msnmsgr.exe REG_SZ C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
C:\Program Files\Windows Live\Messenger\livecall.exe REG_SZ C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)
C:\Program Files\MSN Messenger\msnmsgr.exe REG_SZ C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1
C:\Program Files\MSN Messenger\livecall.exe REG_SZ C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)

===============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{53707962-6F74-2D53-2644-206D7942484F}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{C451C08A-EC37-45DF-AAAD-18B51AB5E837}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ about:blank

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3
EapHost : 0x3
SharedAccess : 0x2
wuauserv : 0x2

=========

=======
Drive :
=======

D‚fragmenteur de disque Windows
Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc.

Rapport d'analyse
29,29 Go total, 3,81 Go libre (12%), 5% fragment‚ (fragmentation du fichier 11%)

Il ne vous est pas n‚cessaire de d‚fragmenter ce volume.

==========
Programs
==========

7-Zip
Adobe
Analog Devices
Apple Software Update
ASIO4ALL v2
AVG
Avira
AviSynth 2.5
Axon Data
CCleaner
Collab
Combined Community Codec Pack
ComPlus Applications
DAEMON Tools Pro
DIFX
directx
DivX
Fichiers communs
Google
Icone
Image-Line
InstallShield Installation Information
Internet Explorer
Inventel
Java
K-Lite Codec Pack
LETMIN
Malwarebytes' Anti-Malware
microsoft frontpage
Microsoft.NET
Movie Maker
Mozilla Firefox
MSBuild
MSN Gaming Zone
MSXML 4.0
MSXML 6.0
Nero
NetMeeting
Online Services
OpenOffice.org 2.3
Outlook Express
Paint.NET
PDFCreator Toolbar
Real
Reference Assemblies
Seagate Software
Services en ligne
Sony
Spybot - Search & Destroy
SuperCopier2
Trend Micro
TuneUp Utilities 2009
Uninstall Information
Veoh Networks
VideoLAN
VID_0E8F&PID_3013
VS Revo Group
Vstplugins
Wanadoo
Windows Media Connect 2
Windows Media Player
Windows NT
WindowsUpdate
WinRAR
xerox

¤¤¤¤¤¤¤¤¤¤ Files/folders :

C:\Documents and Settings\All Users\Application Data\QTSBandwidthCache
C:\WINDOWS\System32\dumphive.exe
C:\WINDOWS\System32\SET84.tmp
C:\WINDOWS\System32\SET89.tmp
C:\WINDOWS\System32\SET90.tmp
C:\WINDOWS\System32\SET99.tmp
C:\WINDOWS\System32\SET9B.tmp
C:\WINDOWS\System32\SET9E.tmp
C:\WINDOWS\System32\setb0.tmp
C:\WINDOWS\System32\SrchSTS.exe
C:\WINDOWS\System32\tmp.reg
C:\WINDOWS\System32\VACFix.exe
C:\WINDOWS\System32\VCCLSID.exe
C:\WINDOWS\System32\WS2Fix.exe

¤¤¤¤¤¤¤¤¤¤ Keys :

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoFolderOptions"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTools"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr"
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
HKCU\SOFTWARE\Microsoft\contim

=========
Rootkits
=========

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-12 19:21:59
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Pro\"
"h0"=dword:00000000
"hdf12"=hex:de,66,36,89,47,50,e1,5c,6c,a1,12,3d,c1,48,35,45,15,6c,f5,d9,53,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,7f,06,b3,2c,be,d0,b2,c1,13,03,1c,84,41,07,ec,6d,e1,..
"hdf12"=hex:37,10,ae,e5,67,6c,47,8f,3f,dc,d7,15,fc,c8,e0,8e,fb,5b,82,15,7f,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:ec,8e,de,64,0e,88,f9,bc,57,a8,b3,37,a0,93,32,61,6c,38,df,87,d8,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002]
"a0"=hex:20,01,00,00,eb,59,eb,e1,c0,13,bd,e3,a7,d1,95,d6,ec,0a,eb,b3,3e,..
"hdf12"=hex:94,61,41,9b,15,e8,b1,1c,13,80,65,2f,81,4c,0f,23,43,d1,63,e1,73,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0]
"hdf12"=hex:c5,ec,f1,65,8e,d3,4b,12,5c,e2,6f,60,f0,72,cb,de,5e,82,60,ef,86,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Pro\"
"h0"=dword:00000000
"hdf12"=hex:de,66,36,89,47,50,e1,5c,6c,a1,12,3d,c1,48,35,45,15,6c,f5,d9,53,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,7f,06,b3,2c,be,d0,b2,c1,13,03,1c,84,41,07,ec,6d,e1,..
"hdf12"=hex:eb,db,f4,e7,7d,2c,8c,cc,ee,e0,20,01,bd,2b,b8,6c,49,be,1d,0e,8b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:7c,3f,fb,4c,d2,7c,7d,de,7a,26,1a,fa,e5,d0,83,89,0c,98,c1,e7,0d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Pro\"
"h0"=dword:00000000
"hdf12"=hex:de,66,36,89,47,50,e1,5c,6c,a1,12,3d,c1,48,35,45,15,6c,f5,d9,53,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,7f,06,b3,2c,be,d0,b2,c1,13,03,1c,84,41,07,ec,6d,e1,..
"hdf12"=hex:37,10,ae,e5,67,6c,47,8f,3f,dc,d7,15,fc,c8,e0,8e,fb,5b,82,15,7f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:ec,8e,de,64,0e,88,f9,bc,57,a8,b3,37,a0,93,32,61,6c,38,df,87,d8,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002]
"a0"=hex:20,01,00,00,eb,59,eb,e1,c0,13,bd,e3,a7,d1,95,d6,ec,0a,eb,b3,3e,..
"hdf12"=hex:94,61,41,9b,15,e8,b1,1c,13,80,65,2f,81,4c,0f,23,43,d1,63,e1,73,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0]
"hdf12"=hex:c5,ec,f1,65,8e,d3,4b,12,5c,e2,6f,60,f0,72,cb,de,5e,82,60,ef,86,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x83f09020
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x83f458d0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


Rapport de destruction

Kill'em by g3n-h@ckm@n 1.1.5.1

User : Administrateur (Administrateurs) # PERSO-732005DCD
Update on 11/12/2009 by g3n-h@ckm@n ::::: 20:30
Start at: 19:28:06 | 12/12/2009
Contact : g3n-h@ckm@n sur CCM

AMD Athlon(tm) 64 Processor 3200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 29,29 Go (3,81 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local | 43,95 Go (7,52 Go free) | NTFS
F:\ -> Disque CD-ROM


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe 524
C:\WINDOWS\system32\csrss.exe 892
C:\WINDOWS\system32\winlogon.exe 964
C:\WINDOWS\system32\services.exe 1136
C:\WINDOWS\system32\lsass.exe 1148
C:\WINDOWS\system32\svchost.exe 1476
C:\WINDOWS\system32\svchost.exe 1612
C:\WINDOWS\system32\svchost.exe 348
C:\WINDOWS\system32\svchost.exe 408
C:\WINDOWS\system32\svchost.exe 568
C:\WINDOWS\Explorer.EXE 1168
C:\WINDOWS\system32\notepad.exe 1116
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Répertoire temporaire 1 pour List_Killem.zip\List_Kill'em.scr 1164
C:\WINDOWS\system32\cmd.exe 272
C:\WINDOWS\system32\wbem\wmiprvse.exe 1916
C:\Documents and Settings\Administrateur\Local Settings\temp\5.tmp\pv.exe 2028

Detections :
==========


¤¤¤¤¤¤¤¤¤¤ Files/folders :

C:\Documents and Settings\All Users\Application Data\QTSBandwidthCache
"C:\WINDOWS\system32\dumphive.exe"
C:\WINDOWS\System32\SET84.tmp
C:\WINDOWS\System32\SET89.tmp
C:\WINDOWS\System32\SET90.tmp
C:\WINDOWS\System32\SET99.tmp
C:\WINDOWS\System32\SET9B.tmp
C:\WINDOWS\System32\SET9E.tmp
C:\WINDOWS\System32\setb0.tmp
"C:\WINDOWS\system32\SrchSTS.exe"
"C:\WINDOWS\system32\tmp.reg"
"C:\WINDOWS\system32\VACFix.exe"
"C:\WINDOWS\system32\VCCLSID.exe"
"C:\WINDOWS\system32\WS2Fix.exe"


¤¤¤¤¤¤¤¤¤¤ Files/folders deleted :

Quarantine :

dumphive.exe.Kill'em
QTSBandwidthCache.Kill'em
SET84.tmp.Kill'em
SET89.tmp.Kill'em
SET90.tmp.Kill'em
SET99.tmp.Kill'em
SET9B.tmp.Kill'em
SET9E.tmp.Kill'em
setb0.tmp.Kill'em
SrchSTS.exe.Kill'em
tmp.reg.Kill'em
VACFix.exe.Kill'em
VCCLSID.exe.Kill'em
WS2Fix.exe.Kill'em

==============
host file OK !
==============

========
Registry
========
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
Deleted : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe
Deleted : HKCU\SOFTWARE\Microsoft\contim

============
Disk Cleaned
============

================
Prefetch cleaned
================



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


0
Réponse 32 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\


▶ Télécharge : Gmer (by Przemyslaw Gmerek)

http://www.gmer.net/



▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

▶ sur les lignes rouge:

▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
0
Réponse 33 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
Ce post supprime et remplace le post 56

Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.


Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.

Si c'est le cas, continue comme ça :

Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

Réactive tes protections
Poste ce rapport et supprimes-le ensuite.

Pour vérifier

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe

Réactive tes protections.

Le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK


Sous Vista, ne pas oublier de lancer mbr.exe par clic droit et Exécuter en tant qu'administrateur.
Note : Si le fichier mbr.exe se trouve dans Téléchargement, cela fonctionne aussi et mbr.log s'y inscrira.
0
pives Messages postés 437 Statut Membre 32
 
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x83aba020
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x83af68d0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !
0
pives Messages postés 437 Statut Membre 32
 
J'ai fait la 2ième étape (pour vérifier) et le log m'a donné cela:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x83aba020
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x83af68d0
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !
Use "Recovery Console" command "fixmbr" to clear infection !


Est-ce normal ?


ps: c'est quoi en fait mbr ?

0
Réponse 34 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
ps: c'est quoi en fait mbr ?
franchement, je ne saurai te dire

en revanche, un rookit est une bébête qui sait particulièrement bien se cacher...et si je comprends bien les choses, il y a en un chez toi...
je te tiens au courant pour la suite
0
pives Messages postés 437 Statut Membre 32
 
En effet si l'on en croit wikipedia le rootkit n'est pas une connaissance très fréquentable !

ps: d'où le lien avec le MBR (Master Boot Record)
0
Réponse 35 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
ok on y va..!

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt




0
pives Messages postés 437 Statut Membre 32
 
Il m'est impossible de lancer ComboFix:

https://www.imagevenue.com/view/o/?i=19160_erreur_conbofix_122_412lo.jpg&h=img2175

De plus je ne trouve aucun autre lien de téléchargement (celui que tu m'a donné me fait error 404)

...
0
Réponse 36 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
je ne peux voir tes liens d'où je me trouve, mais à la lecture des autres topics, combofix semble indisponible....
remets à plus tard, la manip, et je crois qu'apres ca, tes problèmes devraient s'arranger
0
pives Messages postés 437 Statut Membre 32
 
Il semble que ComboFix soit indisponible depuis longtemps et pour longtemps...
N'y a t-il pas de programme équivalent ?
0
Réponse 37 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
Puis-je y faire confiance ?


NON il faut attendre que le créateur de ComboFix le remette en ligne.

quand ca fonctionnera, potasses ca avant

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
Réponse 38 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
j'ai eu confirmation que combofix est indisponible pour mise à jour

patience il te faut....


0
pives Messages postés 437 Statut Membre 32
 
Avira vient de trouver un Trojan :

TR/Spy.82432.C

Je fais quoi ?

ps: pour info il se trouve là:
C:\System Volume Information\_restore{361E6977-C883-4653-90D1-5D4BF7D41630}\RP358\A0085139.exe
0
Réponse 39 / 56
pives Messages postés 437 Statut Membre 32
 
--
Celui qui pose une question est bête 2 minutes, celui qui ne la pose pas est bête toute sa vie ...
0
Réponse 40 / 56
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
il se trouve dans la restauration systeme ...pas de soucis

manque combofix toujours indisponible à l'heure de ce post....

0

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
cheval de troie trojan
idnoder -
idnoder -

42 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses