demande d'antirootkit bootable Résolu/Fermé

Question

Bonjour,
je demande  simplement un antirootkit bootable ou une solution car j'ai essayer des scans de plusieurs antirootkit apres le demarrage du systéme d'exploitation sur mes deux ordinateurs et je suis certain que j'ai plusieurs rootkits mais malheureusement le os windows plante sur un ecran d'erreur bleu qui oblige le redémarage et je suis certain que c'est a cause des rootkit noyeau  qui ont ressentus le danger alors il termine le systeme de façon innatendu ,autre chose j'ai des dossiers qui etait accessibles avant et qui devenait innaccessible ou meme irrecuperable ou inneffassable merci de votre aide a bientot

gen-hackman · Answer

salut :

&#9654 Télécharge et install UsbFix par Chiquitine29

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

&#9654 Double clic sur le raccourci UsbFix présent sur ton bureau .

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Oxygenique · Answer

Salut,
Pour les rootkit j'utilise avg antirootkit.
Pour l'ecran bleue, sa peut trés bien être un pilote qui disfonctionne....

Regarde le rapport au démarrage et dit moi ce qu'il y a marquer stp =).

meetsmile · Answer

voici le rapport apres dessinfection du premier pc j'envoie le rapport a propos du 2 eme 
############################## | UsbFix V6.061 |

User : Administrateur (Administrateurs) # SWEET-678855FE0
Update on 10/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 17:07:05 | 11/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual  CPU  T3400  @ 2.16GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1356 [VPS 091211-0] 4.8.1356 [ Enabled | Updated ]

C:\ -> Disque fixe local # 116,29 Go (29,64 Go free) # NTFS
D:\ -> Disque fixe local # 115,13 Go (37,38 Go free) [Data] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque amovible # 7,46 Go (6,79 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 1140
C:\WINDOWS\system32\csrss.exe 1596
C:\WINDOWS\system32\winlogon.exe 1844
C:\WINDOWS\system32\services.exe 252
C:\WINDOWS\system32\lsass.exe 336
C:\WINDOWS\system32\svchost.exe 776
C:\WINDOWS\system32\svchost.exe 880
C:\WINDOWS\System32\svchost.exe 980
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1980
C:\Program Files\Alwil Software\Avast4\ashServ.exe 2032
C:\WINDOWS\system32\spoolsv.exe 1508
C:\WINDOWS\Explorer.EXE 1712
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe 1600
C:\WINDOWS\RTHDCPL.EXE 208
C:\Program Files\Google\Update\GoogleUpdate.exe 744
C:\Program Files\Hotspot Shield\bin\openvpnas.exe 768
C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe 1004
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe 1468
C:\WINDOWS\system32\igfxtray.exe 1312
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE 1756
C:\WINDOWS\system32\igfxsrvc.exe 1764
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 368
C:\WINDOWS\system32\igfxpers.exe 628
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe 1696
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe 944
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 1944
C:\Program Files\WinMover\WinMover.exe 564
C:\Program Files\Skype\Phone\Skype.exe 932
C:\Program Files\DAEMON Tools Lite\DTLite.exe 1300
C:\WINDOWS\system32\svchost.exe 2536
C:\Program Files\TVersity\Media Server\MediaServer.exe 2636
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 324
C:\Program Files\Hotspot Shield\bin\openvpntray.exe 2288
C:\Program Files\Opera\opera.exe 1384
C:\WINDOWS\system32\wbem\wmiprvse.exe 3616

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés infectieuses |

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsHistory"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsHistory"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsMenu"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoResolveSearch"  

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{45e22cec-1245-11de-9486-002163e93041}
Shell\AutoRun\command =G:\zPharaoh.exe 
Shell\explore\command =G:\zPharaoh.exe 
Shell\open\command =G:\zPharaoh.exe 

HKCU\..\..\Explorer\MountPoints2\{50b22bc4-17e3-11de-9496-002163e93041}
Shell\AutoRun\command =G:\rrxf.cmd 
Shell\explore\Command =G:\rrxf.cmd 
Shell\open\Command =G:\rrxf.cmd 

HKCU\..\..\Explorer\MountPoints2\{96aeaa58-a465-11de-9592-002163e93041}
Shell\AutoRun\command =G:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{96aeaa5a-a465-11de-9592-002163e93041}
Shell\AutoRun\command =photos.exe 
Shell\explore\command =photos.exe 
Shell\open\command =photos.exe 

HKCU\..\..\Explorer\MountPoints2\{d444d0fa-cecb-11de-95cc-002163e93041}
Shell\AutoRun\command =G:\mje12tni.exe 
Shell\open\Command =G:\mje12tni.exe 

################## | Cracks / Keygens / Serials |

"D:\3dsmax7\Crack\pdx-3dm7.exe"  
14/10/2004 19:04 |Size 385024 |Crc32 0717b934 |Md5 66a90b61f8b7fe1a67c66fce63f34111  
 
"C:\Program Files\eMule\Incoming\3Ds Max 6 7 8 & 9 Keygen Serial Crack Multilanguages Fr En 3D Studio Max 6 7 8 9.rar" 
-> contain :  3ds max 8 - keygen\uninstall\uninstall.exe

"C:\Program Files\eMule\Incoming\3Ds Max 6 7 8 & 9 Keygen Serial Crack Multilanguages Fr En 3D Studio Max 6 7 8 9.rar" 
-> contain :  3ds max 8 - keygen\VB6FR DLL\VB6FR.exe

"C:\Program Files\eMule\Incoming\Discreet.3dS.MAX.v7.0.Final.Keygen.Only-PARADOX.rar" 
-> contain :  pdx-3dm7.exe


################## | ! Fin du rapport # UsbFix V6.061 ! |

meetsmile · Answer

je ne sais pas pourqoi je ne peut pas envoyer le rapport sur le forum dés que je colle le rapport et je clique sur ajouter une autre page ou il ya le rapport mais cette fois avec le bouton modifier je clique dessus et un autre message qui dit je ne peux pas modifier car c'est modérer et le resultat le rapport n'est pas ajouter au topic

Oxygenique · Answer

Bin essaye de décrire un peu ou fais un screen.

meetsmile · Answer

j'ai envoyé le rapport a vous deux par mp

Oxygenique · Answer

C'etait pas exactement sa que je te demander...

plutot sa :

http://images4.hiboox.com/images/3408/1a7d083c8acaf257c703c5025a294fa6.jpg

meetsmile · Answer

comment trouver le rapport comme indiqué sur l'image

Oxygenique · Answer

Bin si l'ecran bleue apparait , normalement en bas tu devrais voir marqué "dump physical memory"
Ou un truc du genre, vérifie si il arrive a 100.

si oui il devrait se redemarrer automatiquement.
ensuite il doit t'afficher une petite page ou il y a normalement un rapport de windows.

gen-hackman · Answer

un pc apres l autre stp

&#9654  (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

&#9654 Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

&#9654 Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

&#9654 Ton bureau disparaitra et le pc redémarrera .

&#9654 Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

meetsmile · Answer

je ne peux pas faire le scan avec usb fix  maintenant et aussi l'ecran bleu pour cet ordinateur n'apparait que si je fais des scan anttirootkit avec ce que je ne peux pas faire maintenant bref je vous tient au courant apres entre 30mn et 60mn .

gen-hackman · Answer

ok à te lire

meetsmile · Answer

############################## | UsbFix V6.061 |

User : Administrateur (Administrateurs) # SWEET-678855FE0
Update on 10/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 18:17:01 | 11/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual  CPU  T3400  @ 2.16GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1356 [VPS 091211-0] 4.8.1356 [ Enabled | Updated ]

C:\ -> Disque fixe local # 116,29 Go (29,55 Go free) # NTFS
D:\ -> Disque fixe local # 115,13 Go (37,38 Go free) [Data] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque amovible # 7,46 Go (6,79 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 1140
C:\WINDOWS\system32\csrss.exe 1708
C:\WINDOWS\system32\winlogon.exe 1956
C:\WINDOWS\system32\services.exe 544
C:\WINDOWS\system32\lsass.exe 556
C:\WINDOWS\system32\svchost.exe 892
C:\WINDOWS\system32\svchost.exe 992
C:\WINDOWS\System32\svchost.exe 1112
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 232
C:\Program Files\Alwil Software\Avast4\ashServ.exe 296
C:\WINDOWS\system32\spoolsv.exe 1632
C:\WINDOWS\Explorer.EXE 1844
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe 1544
C:\Program Files\Google\Update\GoogleUpdate.exe 1636
C:\Program Files\Google\Update\GoogleUpdate.exe 1800
C:\Program Files\Hotspot Shield\bin\openvpnas.exe 1856
C:\Program Files\Google\Update\GoogleUpdate.exe 1864
C:\WINDOWS\system32\wbem\wmiprvse.exe 928
C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe 1840
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE 1184
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 1292
C:\WINDOWS\system32\svchost.exe 1716
C:\Program Files\TVersity\Media Server\MediaServer.exe 844

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\Recycler\S-1-5-21-682003330-583907252-1801674531-500 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-733892159-2305535625-1620346786-1000 
Supprimé ! D:\Recycler\S-1-5-21-682003330-583907252-1801674531-500 
Supprimé ! H:\.\RECYCLER\autorun.exe 

################## | Registre # Clés infectieuses |

Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsHistory"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsHistory"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsMenu"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoResolveSearch"  

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{45e22cec-1245-11de-9486-002163e93041}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{50b22bc4-17e3-11de-9496-002163e93041}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{96aeaa58-a465-11de-9592-002163e93041}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{96aeaa5a-a465-11de-9592-002163e93041}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{d444d0fa-cecb-11de-95cc-002163e93041}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[14/03/2009 20:15|--a------|0] C:\AUTOEXEC.BAT 
[14/03/2009 20:10|---hs----|212] C:\boot.ini 
[14/04/2008 13:00|-rahs----|4952] C:\Bootfont.bin 
[11/09/2009 10:50|--a------|74] C:\CMLoader.log 
[14/03/2009 20:15|--a------|0] C:\CONFIG.SYS 
[14/03/2009 20:15|-rahs----|0] C:\IO.SYS 
[14/03/2009 20:15|-rahs----|0] C:\MSDOS.SYS 
[14/04/2008 13:00|-rahs----|47564] C:\NTDETECT.COM 
[14/04/2008 13:00|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[11/12/2009 18:18|--a------|3930] C:\UsbFix.txt 
[30/04/2009 13:50|---hs----|2003] D:\AlbumArtSmall.jpg 
[21/11/2009 15:36|--a------|32] D:\defaultPerfLog.txt 
[07/12/2009 08:02|--a------|4598792192] D:\FINAL_FANTASY_X.ISO 
[07/12/2009 08:02|--a------|4328] D:\FINAL_FANTASY_X.MDS 
[30/04/2009 13:50|---hs----|6564] D:\Folder.jpg 
[18/09/2009 11:29|--a------|837921790] D:\PES2010Demo.rar 
[21/07/2009 12:51|--a------|123345] D:\Vid&#8218;o006.mp4 
[21/07/2009 12:51|--a------|1678628] D:\Vid&#8218;o007.mp4 
[21/07/2009 12:51|--a------|3583729] D:\Vid&#8218;o008.mp4 
[21/07/2009 12:51|--a------|2259598] D:\Vid&#8218;o009.mp4 
[21/07/2009 12:50|--a------|2497704] D:\Vid&#8218;o010.mp4 
[21/07/2009 12:50|--a------|4036661] D:\Vid&#8218;o011.mp4 
[21/07/2009 12:50|--a------|125287] D:\Vid&#8218;o012.mp4 
[10/12/2009 18:33|-r-hs----|224150] H:\IO.SYS 
[10/12/2009 18:33|-r-hs----|1026] H:\MSDOS.SYS 
[10/12/2009 18:33|---hs----|94292] H:\COMMAND.COM 
[10/12/2009 18:33|-r-hs----|68871] H:\DRVSPACE.BIN 
[10/12/2009 17:31|--a------|710934528] H:\mandriva-linux-one-2010.0-KDE4-europe1-americas-cdrom-i586.iso 
[10/12/2009 18:36|--ah-----|0] H:\BOOTLOG.TXT 
[11/12/2009 15:19|--a------|292864] H:\aliatrigui.exe 
[11/12/2009 17:05|--a------|1366456] H:\UsbFix.exe 
[11/12/2009 18:07|--a------|2929] H:\UsbFix.txt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# D:\autorun.inf -> Dossier créé par UsbFix.  
# H:\autorun.inf -> Dossier créé par UsbFix.  

################## | Cracks / Keygens / Serials |

"D:\3dsmax7\Crack\pdx-3dm7.exe"  
14/10/2004 19:04 |Size 385024 |Crc32 0717b934 |Md5 66a90b61f8b7fe1a67c66fce63f34111  
 
"C:\Program Files\eMule\Incoming\3Ds Max 6 7 8 & 9 Keygen Serial Crack Multilanguages Fr En 3D Studio Max 6 7 8 9.rar" 
-> contain :  3ds max 8 - keygen\uninstall\uninstall.exe

"C:\Program Files\eMule\Incoming\3Ds Max 6 7 8 & 9 Keygen Serial Crack Multilanguages Fr En 3D Studio Max 6 7 8 9.rar" 
-> contain :  3ds max 8 - keygen\VB6FR DLL\VB6FR.exe

"C:\Program Files\eMule\Incoming\Discreet.3dS.MAX.v7.0.Final.Keygen.Only-PARADOX.rar" 
-> contain :  pdx-3dm7.exe

gen-hackman · Answer

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant scan all users

&#9654 règle-le sur "60 Days"

&#9654 dans la colonne de gauche , mets tout sur all

ne modifie pas ceci : 

"files created whithin" et "files modified whithin" 

&#9654Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt".

meetsmile · Answer

désolé non pas les fichiers eux meme mais les lien comme tu m'a dit par message privé

meetsmile · Answer

http://www.cijoint.fr/cjlink.php?file=cj200912/cijArlsgfz.txt
http://www.cijoint.fr/cjlink.php?file=cj200912/cij9qwzMoG.txt

gen-hackman · Answer

&#9654 Télécharge Ad-remover ( de C_XX ) sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

&#9654 Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis l'option "L" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

&#9654 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

meetsmile · Answer

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_E | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 10.12.2009 à 21:08
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 20:31:38, 11/12/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP&#8482;  Service Pack 3 SP3 v5.1.2600
Nom du PC: SWEET-678855FE0 | Utilisateur actuel: Administrateur
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.


(!) -- Fichiers temporaires supprimés.
 
.
HKCU\software\microsoft\internet explorer\searchscopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.0.15 [fr] *
.
 Nom du profil: mteietq8.default (Administrateur)
.
(ADMINI~1, prefs.js) Browser.download.lastDir, C:\Documents and Settings\Administrateur\Bureau\huile d'olive\Olive_fichiers
(ADMINI~1, prefs.js) Browser.search.defaulturl, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1561552&SearchSource=3&q=
(ADMINI~1, prefs.js) Browser.search.selectedEngine, Web Search
(ADMINI~1, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/
. 
(ADMINI~1, prefs.js) EFFACE - Browser.search.defaultthis.engineName, Web Search
(ADMINI~1, prefs.js) EFFACE - Browser.search.selectedEngine, Web Search
. 
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Use Custom Search URL: 1 (0x1)
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Use Search Asst: no
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
536 Octet(s) - C:\Ad-Report-CLEAN[1].log 
2508 Octet(s) - C:\Ad-Report-CLEAN[2].log 
.
0 Fichier(s) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 
1 Fichier(s) - C:\WINDOWS\Temp 
0 Fichier(s) - C:\WINDOWS\Prefetch 
.
18 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE 
.
Fin à: 20:33:21 | 11/12/2009 - CLEAN[2]
.
============== E.O.F ==============
.

gen-hackman · Answer

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

&#9654 Télécharge List&Kill'em.scr et enregistre le sur ton bureau

&#9654 dezippe-le , (clic droit/ extraire.....)

Il ne necessite pas d'installation 

&#9654 double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

tu peux supprimer le rapport catchme.log de ton bureau maintenant.

(si le premier lien ne fonctionne pas : List_Kill'em.bat )

meetsmile · Answer

List'em by g3n-h@ckm@n 1.1.5.1 

Thx to Chiquitine29.....& CCM team 

User : Administrateur (Administrateurs) # SWEET-678855FE0
Update on 11/12/2009 by g3n-h@ckm@n ::::: 20:30 
Start at: 21:06:22 | 11/12/2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Pentium(R) Dual  CPU  T3400  @ 2.16GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1356 [VPS 091211-0] 4.8.1356 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 116,29 Go (29,86 Go free) | NTFS
D:\ -> Disque fixe local | 115,13 Go (37,38 Go free) [Data] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque amovible | 7,46 Go (6,79 Go free) | FAT32

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running 

C:\WINDOWS\System32\smss.exe 1140
C:\WINDOWS\system32\csrss.exe 1708
C:\WINDOWS\system32\winlogon.exe 1956
C:\WINDOWS\system32\services.exe 544
C:\WINDOWS\system32\lsass.exe 556
C:\WINDOWS\system32\svchost.exe 884
C:\WINDOWS\system32\svchost.exe 992
C:\WINDOWS\System32\svchost.exe 1112
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 232
C:\Program Files\Alwil Software\Avast4\ashServ.exe 292
C:\WINDOWS\system32\spoolsv.exe 1624
C:\WINDOWS\Explorer.EXE 1872
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe 1332
C:\Program Files\Google\Update\GoogleUpdate.exe 1784
C:\Program Files\Hotspot Shield\bin\openvpnas.exe 1976
C:\WINDOWS\RTHDCPL.EXE 1004
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe 1200
C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe 1220
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE 1484
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 1508
C:\WINDOWS\system32\igfxtray.exe 356
C:\WINDOWS\system32\hkcmd.exe 716
C:\WINDOWS\system32\igfxsrvc.exe 636
C:\WINDOWS\system32\igfxpers.exe 684
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe 956
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe 1064
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 1824
C:\Program Files\WinMover\WinMover.exe 1316
C:\WINDOWS\system32\svchost.exe 2656
C:\Program Files\TVersity\Media Server\MediaServer.exe 2764
C:\Program Files\Hotspot Shield\bin\openvpntray.exe 2596
C:\Program Files\Opera\opera.exe 1612
C:\Documents and Settings\Administrateur\Bureau\BLEACH\List_Kill'em.scr 1460
C:\WINDOWS\system32\cmd.exe 2012
C:\WINDOWS\system32\wbem\wmiprvse.exe 3664
C:\Documents and Settings\Administrateur\Local Settings\Temp\4D.tmp\pv.exe 2744

======================
Keys "Run" 
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
WinMover	REG_SZ         	"C:\Program Files\WinMover\WinMover.exe" /q
msnmsgr	REG_SZ         	"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
Skype	REG_SZ         	"C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
DAEMON Tools Lite	REG_SZ         	"C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
RTHDCPL	REG_SZ         	RTHDCPL.EXE 
Alcmtr	REG_SZ         	ALCMTR.EXE 
VirtualCloneDrive	REG_SZ         	"C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s 
IgfxTray	REG_SZ         	C:\WINDOWS\system32\igfxtray.exe 
HotKeysCmds	REG_SZ         	C:\WINDOWS\system32\hkcmd.exe 
Persistence	REG_SZ         	C:\WINDOWS\system32\igfxpers.exe 
Camera Assistant Software	REG_SZ         	"C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe" /start 
SpeedTouch USB Diagnostics	REG_SZ         	"C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon 
SSBkgdUpdate	REG_SZ         	"C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot 
OpwareSE4	REG_SZ         	"C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe" 
avast!	REG_SZ         	C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 
KernelFaultCheck	REG_EXPAND_SZ  	%systemroot%\system32\dumprep 0 -k 
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
dontdisplaylastusername	REG_DWORD      	1 (0x1) 
legalnoticecaption	REG_SZ         	 
legalnoticetext	REG_SZ         	 
shutdownwithoutlogon	REG_DWORD      	1 (0x1) 
undockwithoutlogon	REG_DWORD      	1 (0x1) 
NoInternetOpenWith	REG_DWORD      	1 (0x1) 

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoDriveTypeAutoRun	REG_DWORD      	145 (0x91) 
ForceClassicControlPanel	REG_DWORD      	1 (0x1) 
LinkResolveIgnoreLinkInfo	REG_DWORD      	1 (0x1) 
NoDesktopCleanupWizard	REG_DWORD      	1 (0x1) 
NoInstrumentation	REG_DWORD      	1 (0x1) 
NoLowDiskSpaceChecks	REG_DWORD      	1 (0x1) 
NoResolveTrack	REG_DWORD      	1 (0x1) 
NoSMBalloonTip	REG_DWORD      	1 (0x1) 
NoSMConfigurePrograms	REG_DWORD      	1 (0x1) 
NoSMHelp	REG_DWORD      	1 (0x1) 
NoStartBanner	REG_DWORD      	1 (0x1) 
NoStartMenuMFUprogramsList	REG_DWORD      	1 (0x1) 
NoStrCmpLogical	REG_DWORD      	0 (0x0) 
NoWelcomeScreen	REG_DWORD      	1 (0x1) 
NoDriveAutoRun	REG_DWORD      	145 (0x91) 
HonorAutoRunSetting	REG_DWORD      	0 (0x0) 

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
HonorAutoRunSetting	REG_DWORD      	0 (0x0) 
CDRAutoRun	REG_DWORD      	1 (0x1) 
HideRunAsVerb	REG_DWORD      	1 (0x1) 
NoActiveDesktop	REG_DWORD      	0 (0x0) 
NoCDBurning	REG_DWORD      	1 (0x1) 
NoDesktopCleanupWizard	REG_DWORD      	1 (0x1) 
NoDriveTypeAutoRun	REG_DWORD      	145 (0x91) 
NoInstrumentation	REG_DWORD      	1 (0x1) 
NoNetConnectDisconnect	REG_DWORD      	1 (0x1) 
NoRemoteRecursiveEvents	REG_DWORD      	1 (0x1) 
NoResolveTrack	REG_DWORD      	1 (0x1) 
NoSetActiveDesktop	REG_DWORD      	0 (0x0) 
NoStartMenuMFUprogramsList	REG_DWORD      	1 (0x1) 
NoDriveAutoRun	REG_DWORD      	145 (0x91) 

=============== 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS	REG_SZ         	

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\crypt32chain]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\cryptnet]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\cscdll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\dimsntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\igfxcui]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\ScCertProp]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\sclgntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\SensLogn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify	ermsrv]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\WgaLogon]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\wlballoon]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{AEB6717E-7E19-11d0-97EE-00C04FD91972}	REG_SZ         	 

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
%windir%\Network Diagnostic\xpnetdiag.exe	REG_SZ         	%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
%windir%\system32\sessmgr.exe	REG_SZ         	%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
C:\Program Files\Mozilla Firefox\firefox.exe	REG_SZ         	C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Mozilla Firefox
C:\Program Files\VideoLAN\VLC\vlc.exe	REG_SZ         	C:\Program Files\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player
C:\Program Files\eMule\emule.exe	REG_SZ         	C:\Program Files\eMule\emule.exe:*:Enabled:eMule
D:\3dsmax7\3dsmax.exe	REG_SZ         	D:\3dsmax7\3dsmax.exe:*:Enabled:3ds max 7
C:\Program Files\backburner 2\monitor.exe	REG_SZ         	C:\Program Files\backburner 2\monitor.exe:*:Enabled:backburner 2.3 monitor
C:\Program Files\backburner 2\manager.exe	REG_SZ         	C:\Program Files\backburner 2\manager.exe:*:Enabled:backburner 2.3 manager
C:\Program Files\backburner 2\server.exe	REG_SZ         	C:\Program Files\backburner 2\server.exe:*:Enabled:backburner 2.3 server
C:\Program Files\TVersity\Media Server\MediaServer.exe	REG_SZ         	C:\Program Files\TVersity\Media Server\MediaServer.exe:*:Enabled:TVersity Media Server
C:\Program Files\Skype\Phone\Skype.exe	REG_SZ         	C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\Network Diagnostic\xpnetdiag.exe	REG_SZ         	%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
%windir%\system32\sessmgr.exe	REG_SZ         	%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019

=============== 
BHO :
======
[<NO NAME>	REG_SZ         	]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E5A1691B-D188-4419-AD02-90002030B8EE}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

Ndisuio : 0x3 
EapHost : 0x4 
SharedAccess : 0x2 
wuauserv : 0x2 

=========
 
=======
Drive :
=======

D&#8218;fragmenteur de disque Windows
Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc.

Rapport d'analyse                 	 
    116 Go total,  29,86 Go libre (25%),  0% fragment&#8218; (fragmentation du fichier 0%)

Il ne vous est pas n&#8218;cessaire de d&#8218;fragmenter ce volume. 	 

==========
Programs
==========

7-Zip
Ad-Remover
Adobe
Alwil Software
Atheros
Audacity
backburner 2
Camera Assistant Software for Toshiba
Canon
CanonBJ
Combined Community Codec Pack
ComPlus Applications
Conduit
DAEMON Tools Lite
DAMN NFO Viewer
DIFX
DVD Decrypter
Elaborate Bytes
eMule
Fichiers communs
FlashFXP
Google
Hotspot Shield
Hotspot_Shield
ImgBurn
InstallShield Installation Information
Internet Explorer
Java
Magic Translator
Microsoft
Microsoft Office
Microsoft Silverlight
Microsoft Visual Studio
Microsoft Works
Movie Maker
Mozilla Firefox
MSECache
MSN Gaming Zone
Nero
NetMeeting
Notepad++
Opera
Outlook Express
Pandora Recovery
Pcsx2
PuTTY
QT Lite
QuickPar
Real Alternative
SABnzbd
SABnzbOpen
Samsung
ScanSoft
Services en ligne
Skype
Tetron4
Thomson
Toshiba
TVersity
TVersity Codec Pack
UFDisk Format Tool2
Uninstall Information
Unlocker
Utilitaires
VideoLAN
Windows Live
Windows Live Safety Center
Windows Media Connect 2
Windows Media Player
Windows NT
WindowsUpdate
WinMover
WinRAR
World of Warcraft Trial
XnView

¤¤¤¤¤¤¤¤¤¤ Files/folders :

C:\WINDOWS\System32\drivers\etc\hosts.msn  
 
¤¤¤¤¤¤¤¤¤¤ Keys : 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoSetActiveDesktop"  
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  

=========
Rootkits
=========

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-11 21:07:49
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"u0"=hex:d4,c3,97,02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,..
"h0"=dword:00000000
"hdf12"=hex:24,45,86,7c,45,45,f4,43,ad,ca,37,c7,53,55,57,a3,d1,f1,9e,77,bc,..
"p0"="C:\Program Files\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,04,f3,cf,ed,a3,1b,1f,bd,ac,66,ba,08,b8,c9,54,4a,8a,..
"hdf12"=hex:e2,9d,be,a3,e9,7c,da,94,67,30,e0,0c,03,e7,2f,9c,e2,23,36,d8,c3,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:2f,42,4c,a5,d4,70,f6,2d,f5,b0,d5,58,db,d4,bb,8c,ef,52,f6,dd,1e,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"u0"=hex:d4,c3,97,02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,..
"h0"=dword:00000000
"hdf12"=hex:24,45,86,7c,45,45,f4,43,ad,ca,37,c7,53,55,57,a3,d1,f1,9e,77,bc,..
"p0"="C:\Program Files\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,04,f3,cf,ed,a3,1b,1f,bd,ac,66,ba,08,b8,c9,54,4a,8a,..
"hdf12"=hex:e2,9d,be,a3,e9,7c,da,94,67,30,e0,0c,03,e7,2f,9c,e2,23,36,d8,c3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:2f,42,4c,a5,d4,70,f6,2d,f5,b0,d5,58,db,d4,bb,8c,ef,52,f6,dd,1e,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

&#9654 Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

&#9654 choisis l'option 2 = Mode Destruction

laisse travailler l'outil.

en fin de scan un rapport s'ouvre 

&#9654 colle le contenu dans ta reponse

meetsmile · Answer

Kill'em by g3n-h@ckm@n 1.1.5.1 
 
User : Administrateur (Administrateurs) # SWEET-678855FE0
Update on 11/12/2009 by g3n-h@ckm@n ::::: 20:30 
Start at: 21:15:53 | 11/12/2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Pentium(R) Dual  CPU  T3400  @ 2.16GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1356 [VPS 091211-0] 4.8.1356 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 116,29 Go (29,86 Go free) | NTFS
D:\ -> Disque fixe local | 115,13 Go (37,38 Go free) [Data] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque amovible | 7,46 Go (6,79 Go free) | FAT32
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\WINDOWS\System32\smss.exe 1140
C:\WINDOWS\system32\csrss.exe 1708
C:\WINDOWS\system32\winlogon.exe 1956
C:\WINDOWS\system32\services.exe 544
C:\WINDOWS\system32\lsass.exe 556
C:\WINDOWS\system32\svchost.exe 884
C:\WINDOWS\system32\svchost.exe 992
C:\WINDOWS\System32\svchost.exe 1112
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 232
C:\Program Files\Alwil Software\Avast4\ashServ.exe 292
C:\WINDOWS\system32\spoolsv.exe 1624
C:\WINDOWS\Explorer.EXE 1872
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe 1332
C:\Program Files\Google\Update\GoogleUpdate.exe 1784
C:\Program Files\Hotspot Shield\bin\openvpnas.exe 1976
C:\WINDOWS\RTHDCPL.EXE 1004
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe 1200
C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe 1220
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE 1484
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 1508
C:\WINDOWS\system32\igfxtray.exe 356
C:\WINDOWS\system32\hkcmd.exe 716
C:\WINDOWS\system32\igfxsrvc.exe 636
C:\WINDOWS\system32\igfxpers.exe 684
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe 956
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe 1064
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 1824
C:\Program Files\WinMover\WinMover.exe 1316
C:\WINDOWS\system32\svchost.exe 2656
C:\Program Files\TVersity\Media Server\MediaServer.exe 2764
C:\Program Files\Hotspot Shield\bin\openvpntray.exe 2596
C:\Program Files\Opera\opera.exe 1612
C:\Documents and Settings\Administrateur\Bureau\BLEACH\List_Kill'em.scr 2604
C:\WINDOWS\system32\cmd.exe 2864
C:\WINDOWS\system32\wbem\wmiprvse.exe 936
C:\Documents and Settings\Administrateur\Local Settings\Temp\7C.tmp\pv.exe 416
 
Detections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

"C:\WINDOWS\System32\drivers\etc\hosts.msn"  
 
 
¤¤¤¤¤¤¤¤¤¤ Files/folders deleted : 
  
Quarantine : 

hosts.msn.Kill'em

==============
host file OK !
==============

========
Registry
========
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop  
Deleted : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe  

============
Disk Cleaned
============
 
================
Prefetch cleaned :
================
 
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

bien :


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

meetsmile · Answer

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3347
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

11/12/2009 21:53:34
mbam-log-2009-12-11 (21-53-34).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|)
Eléments examinés: 156259
Temps écoulé: 18 minute(s), 31 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Pcsx2\plugins\PadSSSPSX.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

gen-hackman · Answer

des soucis persistants ?

meetsmile · Answer

est ce que les virus et les malwares supprimés  avec les application d'avant vont se restaurer apres fermeture et redemarrage du systeme aussi quel sont les rootkits trouvés dans mon systéme merci

meetsmile · Answer

pourquoi sur chaque scan d'une nouvelle application (de usb fix a malwerbyte ) elles trouvent a chaque fois des fichiers inféctés est ce qu'ils persistent est ce que je peux dire maintenant  que mon pc est clean merci pour les précisions

gen-hackman · Answer

c'est a toi ca ? :

C:\Program Files\WinMover\

pour les rootkits c'etait surtout des infections usb

meetsmile · Answer

je ne sais pas si c'est a moi j'ai du oublié ,est ce que je peut fermer l'ordinateur maintenant l'esprit tranquille ,
sans m'inquiéter sur un retour possible des malware aprés redémarrage ,est ce qu'ils sont totallement erradiqués

gen-hackman · Answer

je pense oui tu feras ca pour terminer en beauté : ▶ Télécharge :ATF Cleaner par Atribune Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels netttoyages un peu plus poussés __________________________________________________ ▶---> Télécharge ToolsCleaner2sur ton Bureau. * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). ________________________________________________ ▶ Tu peux supprimer ToolCleaner _________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ si tu as installé Antivir : Configuration ________________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware avec immunisation] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

meetsmile · Answer

a propos de soucis je ne sais rien ,je vais tester demain un scan rootkit ou antivirus pour voir s'il ya l'ecran d'erreur bleu et je t'envoye le resultat a part ça c'est nikel tout marche tres bien

gen-hackman · Answer

https://forums.commentcamarche.net/forum/affich-15566667-demande-d-antirootkit-bootable?page=2#34

meetsmile · Answer

sur ce bonne nuit et a demain pour l'autre deuxiéme pc  je pense que le plus dur est a venir parce que a coté du deuxiéme ce pc est vraiment sain a cote de lui l'autre vraiment c'est la boite de pondore .a bientot ou plutot a demain.

meetsmile · Answer

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix.txt: trouvé !
C:\UsbFix: trouvé !
C:\Documents and Settings\Administrateur\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\catchme.log: trouvé !
C:\Documents and Settings\Administrateur\Bureau\BLEACH\Ad-R.exe: trouvé !
C:\Documents and Settings\Administrateur\Recent\UsbFix.lnk: trouvé !
C:\Program Files\Ad-remover: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Administrateur\Bureau\BLEACH\Ad-R.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Administrateur\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\catchme.log: supprimé !
C:\Documents and Settings\Administrateur\Recent\UsbFix.lnk: supprimé !
C:\UsbFix: supprimé !
C:\Program Files\Ad-remover: supprimé !

meetsmile · Answer

bon j'ai fait toutes les etapes jusqu'au celui davant defragmantation parceque je sais bien que la defragmentation prend trop de temps et je n'ai pas suffisement maintenant demain on fait la dessinfection du deuxieme ordinateur et apres je marquerais resolu comme promis bon cette fois bonne nuit pour de vraie

meetsmile · Answer

bonjour malgré le dessinfection d'hier soir quand j'ouvre linux mandriva one cd live 2010 kde en session live sans installation et quand j'execute la commande ps aux l'interpreteur de commande m'affiche un processuss  
de nom rtkit usr/lib/rtkit-daemon est ce un rootkit aussi une chose j'ai oublié hier soir de te dire merci pour tout apres la dessinfection ,honte a moi, je te le dis maintenent malgré le retard merci

gen-hackman · Answer

je ne connais absolument pas linux.....:(

Utilisateur anonyme · Answer

Salut meetsmile ,

Tu veux bien analyser un fichier stp ..


Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : H:\aliatrigui.exe 


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

meetsmile · Answer

Virustotal est un service qui analyse les fichiers suspects et facilite la détection rapide des virus, vers, chevaux de Troie et toutes sortes de malwares détectés par les moteurs antivirus. Plus d'informations...

Fichier winupgro.exe reçu le 2009.12.12 11:47:25 (UTC)
Situation actuelle: terminé 
Résultat: 0/40 (0.00%)
 Formaté 
Impression des résultats  Antivirus	Version	Dernière mise à jour	Résultat
a-squared	4.5.0.43	2009.12.12	-
AhnLab-V3	5.0.0.2	2009.12.12	-
AntiVir	7.9.1.108	2009.12.11	-
Antiy-AVL	2.0.3.7	2009.12.11	-
Authentium	5.2.0.5	2009.12.02	-
Avast	4.8.1351.0	2009.12.12	-
AVG	8.5.0.427	2009.12.12	-
BitDefender	7.2	2009.12.12	-
CAT-QuickHeal	10.00	2009.12.12	-
ClamAV	0.94.1	2009.12.12	-
Comodo	3215	2009.12.12	-
DrWeb	5.0.0.12182	2009.12.12	-
eSafe	7.0.17.0	2009.12.10	-
eTrust-Vet	35.1.7171	2009.12.11	-
F-Prot	4.5.1.85	2009.12.11	-
F-Secure	9.0.15370.0	2009.12.12	-
Fortinet	4.0.14.0	2009.12.12	-
GData	19	2009.12.12	-
Ikarus	T3.1.1.74.0	2009.12.12	-
Jiangmin	13.0.900	2009.12.12	-
K7AntiVirus	7.10.918	2009.12.11	-
Kaspersky	7.0.0.125	2009.12.12	-
McAfee	5829	2009.12.11	-
McAfee+Artemis	5829	2009.12.11	-
McAfee-GW-Edition	6.8.5	2009.12.12	-
Microsoft	1.5302	2009.12.11	-
NOD32	4680	2009.12.11	-
Norman	6.04.03	2009.12.12	-
nProtect	2009.1.8.0	2009.12.12	-
Panda	10.0.2.2	2009.12.12	-
PCTools	7.0.3.5	2009.12.12	-
Rising	22.25.05.04	2009.12.12	-
Sophos	4.48.0	2009.12.12	-
Sunbelt	3.2.1858.2	2009.12.12	-
Symantec	1.4.4.12	2009.12.12	-
TheHacker	6.5.0.2.091	2009.12.11	-
TrendMicro	9.100.0.1001	2009.12.12	-
VBA32	3.12.12.0	2009.12.12	-
ViRobot	2009.12.12.2085	2009.12.12	-
VirusBuster	5.0.21.0	2009.12.11	-
Information additionnelle
File size: 292864 bytes
MD5   : f664a100002b67d08214f7293992a97d
SHA1  : 357664de477799652302c8a850203d52a2d18f8c
SHA256: 17065b13095a59b0e50f18b911132882de6dfa07cdd010c3fac981fc807913e8
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xB3D70
timedatestamp.....: 0x4B1E389D (Tue Dec 8 12:29:33 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x6D000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6E000 0x46000 0x46000 7.94 082f70951c1f0a94971e3f499e6ecc59
.rsrc 0xB4000 0x2000 0x1400 3.39 18c6bc57cd55bcdda988a20bccbffd82

( 1 imports )

> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess

( 0 exports )
TrID  : File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
ssdeep: 6144:1s6AgX7HevqRkJ8ib8gDPVy15dCbgrF1tA0ex:1n7HevKY8E8GVy/8bM1t
PEiD  : -
packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch
packers (F-Prot): UPX
RDS   : NSRL Reference Data Set

meetsmile · Answer

je connais ce fichier executable c'est gmer.exe antirootkit que j'ai renommé en aliatrigui ,bon j'ai telecharger le linux cd live lorsque l'ordinateur etait infecté je conclus donc que le rootkit s'est duppliquer sur le cd live et sexecute son processuss lors du boot sur le cd live en session live sans installation ça veut dire quand je teste le systeme sans l'installer directement n'est ce pas ou alors il y'a un rootkit qui a reussit a s'echapper a tout les scans d'hier par l'intermediaire du logiciel daemons tools ou alors un rootkit qui a reussi a se restaurer apres redemarrage du windows

meetsmile · Answer

bon ,je vous laisse maintenent car j'ai un exam a passer a 15 h ,a tout a l'heure a peut prés 17h 5h pm ou 18h 6h.a bientot

gen-hackman · Answer

les infections windows ne fonctionnent pas sous linux

meetsmile · Answer

bon ,je suis revenu ,on commence le dessinfection pour le second pc ?

gen-hackman · Answer

ici pour ton deuxieme pc :

https://forums.commentcamarche.net/forum/affich-15580440-meetsmile-deuxieme-pc

meetsmile · Answer

voici  pour le second pc par usb fix
############################## | UsbFix V6.061 |

User : Administrateur (Administrateurs) # MEDTRIGU-CCE1D8
Update on 10/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 18:04:35 | 11/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 1.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.11
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1296 [VPS 091003-0] 4.8.1296 [ (!) Disabled | (!) Outdated ]

C:\ -> Disque fixe local # 19,53 Go (4,21 Go free) # NTFS
D:\ -> Disque fixe local # 58,59 Go (19,37 Go free) # NTFS
E:\ -> Disque fixe local # 70,92 Go (24,22 Go free) [disque local] # NTFS
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque amovible # 7,46 Go (6,79 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 1536
C:\WINDOWS\system32\csrss.exe 1584
C:\WINDOWS\system32\winlogon.exe 1612
C:\WINDOWS\system32\services.exe 1656
C:\WINDOWS\system32\lsass.exe 1668
C:\WINDOWS\system32\svchost.exe 1816
C:\WINDOWS\system32\svchost.exe 1904
C:\WINDOWS\System32\svchost.exe 1956
C:\WINDOWS\system32\svchost.exe 2024
C:\WINDOWS\system32\svchost.exe 360
C:\WINDOWS\Explorer.EXE 580
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 692
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe 928
C:\WINDOWS\system32\ctfmon.exe 936
C:\Program Files\Webshots\webshots.scr 960
C:\WINDOWS\system32\spoolsv.exe 1116
C:\WINDOWS\system32\svchost.exe 1184
C:\Program Files\Hotspot Shield\bin\openvpnas.exe 1244
C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe 1288
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE 1308
C:\WINDOWS\system32\svchost.exe 1384
C:\WINDOWS\system32\wuauclt.exe 1984
C:\WINDOWS\System32\alg.exe 472
C:\WINDOWS\system32\wscntfy.exe 540
C:\WINDOWS\system32\wbem\wmiprvse.exe 1072
C:\Program Files\Hotspot Shield\bin\openvpntray.exe 1488
C:\WINDOWS\system32\wuauclt.exe 400

################## | Fichiers # Dossiers infectieux |

C:\devcon.exe  
C:\makePNF.exe  
C:\mute.exe   
C:\pmtimer.exe   
C:\Recycler\S-1-5-21-6740640221-8970395022-041637337-8333\rundll32.exe    
C:\Recycler\S-1-5-21-6740640221-8970395022-041637337-8333\Desktop.ini  
C:\Recycler\S-1-5-21-6740640221-8970395022-041637337-8333  
H:\autorun.inf  
H:\.\RECYCLER\autorun.exe  
H:\RECYCLER\autorun.exe   

################## | Registre # Clés infectieuses |

[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"  

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{0ef40e40-e35e-11de-a59c-00080209b3c2}
Shell\AutoRun\command =H:\rEcYcLeR\autorun.exe 
Shell\oPEn\coMmaND =H:\RECYCLER\AUTOruN.eXE 

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.061 ! |

gen-hackman · Answer

https://forums.commentcamarche.net/forum/affich-15566667-demande-d-antirootkit-bootable?page=3#51

meetsmile · Answer

désolé gen-hakman je n'ai pas vu ton deuxieme topic bon je met ce topic résolu comme promis pour le premier pc et on attaque apres le second

gen-hackman · Answer

ok ^^

Demande d'antirootkit bootable

48 réponses

Discussions similaires