Trojan win32:Alueron E-J [RTK] infection ! =S
Résolu/Fermé
A voir également:
- Trojan win32:Alueron E-J [RTK] infection ! =S
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Win32 pup gen ✓ - Forum Linux / Unix
- Win32:bogent - Forum Virus
- Trojan win32 vigorf.a - Forum Virus
- Trojan al11 ✓ - Forum Virus
82 réponses
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
28 déc. 2009 à 20:43
28 déc. 2009 à 20:43
Re,
Finalement j'ai décidé de me casser la tête tout seul ^^
Au sérieux, tu as un fichier système manquant.
→ Affiche tous les fichiers et dossiers :
▶ Clique sur Démarrer > Panneau de configuration (en affichage classique) > Option des dossiers/affichage
▶ [Coche] « Afficher les dossiers et fichiers cachés »
▶ [Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
▶ [Décoche] « Masquer les extensions dont le type est connu »
▶ Puis fais [Appliquer] pour valider les changements puis [OK]
=> Tuto
▶ Rends toi sur ce site : VirusTotal.com
▶ Copie ce qui suit et colle le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\windows\System32\drivers\atapi.sys
▶ Clique sur " Envoyer le fichier " .
→ Un rapport va s'élaborer ligne à ligne.
→ Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.
▶ Une fois terminé , Copie colle l'adresse HTTP obtenue . (tu la verra dans la barre d'adresses)
( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyser le fichier maintenant )
Tutoriel : Comment Utiliser VirusTotal ?
============
Télécharge SEAF.exe (de C_XX) sur ton bureau.
▶ Double clique sur SEAF.exe (Exécuter en tant qu'administrateur pour Vista) .
▶ Une fenêtre "cmd" va s'ouvrir .
▶ Tape exactement ce texte dans cette fenêtre puis valide par [Entrée] :
beep.sys
▶ Patiente pendant la recherche, et ne touche a rien ...
▶ Une fenêtre avec un log .txt va s'afficher.
▶ Copie/colle ce rapport dans ta prochaine réponse.
Finalement j'ai décidé de me casser la tête tout seul ^^
Au sérieux, tu as un fichier système manquant.
→ Affiche tous les fichiers et dossiers :
▶ Clique sur Démarrer > Panneau de configuration (en affichage classique) > Option des dossiers/affichage
▶ [Coche] « Afficher les dossiers et fichiers cachés »
▶ [Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
▶ [Décoche] « Masquer les extensions dont le type est connu »
▶ Puis fais [Appliquer] pour valider les changements puis [OK]
=> Tuto
▶ Rends toi sur ce site : VirusTotal.com
▶ Copie ce qui suit et colle le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\windows\System32\drivers\atapi.sys
▶ Clique sur " Envoyer le fichier " .
→ Un rapport va s'élaborer ligne à ligne.
→ Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.
▶ Une fois terminé , Copie colle l'adresse HTTP obtenue . (tu la verra dans la barre d'adresses)
( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyser le fichier maintenant )
Tutoriel : Comment Utiliser VirusTotal ?
============
Télécharge SEAF.exe (de C_XX) sur ton bureau.
▶ Double clique sur SEAF.exe (Exécuter en tant qu'administrateur pour Vista) .
▶ Une fenêtre "cmd" va s'ouvrir .
▶ Tape exactement ce texte dans cette fenêtre puis valide par [Entrée] :
beep.sys
▶ Patiente pendant la recherche, et ne touche a rien ...
▶ Une fenêtre avec un log .txt va s'afficher.
▶ Copie/colle ce rapport dans ta prochaine réponse.
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
28 déc. 2009 à 21:20
28 déc. 2009 à 21:20
Chaque infection, pose du mal pour un PC,
Voilà pour ton infection :
https://forum.malekal.com/viewtopic.php?t=21456&start=
/!\ ATTENTION /!\ : Cette procédure a été crée spécialement pour CET UTILISATEUR, toute copie sur sur un autre système peut entrainer des dysfonctionnements graves.
▶ Copie le texte ci-dessous :
FCopy::
C:\Windows\winsxs\x86_microsoft-windows-beepsys_31bf3856ad364e35_6.0.6000.16386_none_c1e9df570ab23787\beep.sys | c:\windows\System32\drivers\beep.sys
c:\windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys | c:\windows\System32\drivers\atapi.sys
▶ Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
▶ Sauvegarde ce fichier sous le nom de CFScript.txt
▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
▶ Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci
-> Cela va relancer Combofix,
▶ Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
▶ Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
/!\ Ne touche à rien tant que le scan n'est pas terminé /!\
▶ Après redémarrage, poste le contenu du rapport Combofix.txt
Voilà pour ton infection :
https://forum.malekal.com/viewtopic.php?t=21456&start=
/!\ ATTENTION /!\ : Cette procédure a été crée spécialement pour CET UTILISATEUR, toute copie sur sur un autre système peut entrainer des dysfonctionnements graves.
▶ Copie le texte ci-dessous :
FCopy::
C:\Windows\winsxs\x86_microsoft-windows-beepsys_31bf3856ad364e35_6.0.6000.16386_none_c1e9df570ab23787\beep.sys | c:\windows\System32\drivers\beep.sys
c:\windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys | c:\windows\System32\drivers\atapi.sys
▶ Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
▶ Sauvegarde ce fichier sous le nom de CFScript.txt
▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
▶ Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci
-> Cela va relancer Combofix,
▶ Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
▶ Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
/!\ Ne touche à rien tant que le scan n'est pas terminé /!\
▶ Après redémarrage, poste le contenu du rapport Combofix.txt
Pour ce qui est de l'infection, j'ai subit des redirection via google, genre je cliquer pour aller sur des forum de jeux ou autres et sa n'emmenais sur des site souvent a caractère pornographique.
Je voudrais savoir si mes achats par internet risquais d'offrir les codes cartes bleue ? Mes comptes banquaire risque t'ils quelque chose (car évidement c'est le plus important...)
Et si on arrive a érradiquer celle ci, et qu'ensuite je change tout mes mots de passe (y'en a une centaine mais bon..), je risquerais toujours quelque chose ?
Sa me fait peur niveau fichier personnelle, numero de carte banquaire ...
Sinon, après combofix, j'ai eux le même souci que tout a l'heure, à part que j'ai pris soin de noter ce que cela me marquais :
(c'est pas un copier coller..)
"C:\ProgamFiles\Mozzila...(chemin de Firefox parce que j'ai essayer d'aller sur internet)
puis : Tentative d'opération non autorisée sur une clé ddu Refistre marquer pour supression."
Voici le rapport combofix :
http://www.cijoint.fr/cjlink.php?file=cj200912/cijRL48dCQ.txt
Je voudrais savoir si mes achats par internet risquais d'offrir les codes cartes bleue ? Mes comptes banquaire risque t'ils quelque chose (car évidement c'est le plus important...)
Et si on arrive a érradiquer celle ci, et qu'ensuite je change tout mes mots de passe (y'en a une centaine mais bon..), je risquerais toujours quelque chose ?
Sa me fait peur niveau fichier personnelle, numero de carte banquaire ...
Sinon, après combofix, j'ai eux le même souci que tout a l'heure, à part que j'ai pris soin de noter ce que cela me marquais :
(c'est pas un copier coller..)
"C:\ProgamFiles\Mozzila...(chemin de Firefox parce que j'ai essayer d'aller sur internet)
puis : Tentative d'opération non autorisée sur une clé ddu Refistre marquer pour supression."
Voici le rapport combofix :
http://www.cijoint.fr/cjlink.php?file=cj200912/cijRL48dCQ.txt
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
1 janv. 2010 à 22:36
1 janv. 2010 à 22:36
Re,
Live player est une infection.
NE N'INSTALLE SURTOUT PAS
ça va t'afficher des popups de pub intempestives.
+ d'infos:
https://forum.malekal.com/viewtopic.php?t=12214&start=
fais donc le reste, sans le vista sp2 stp.
Live player est une infection.
NE N'INSTALLE SURTOUT PAS
ça va t'afficher des popups de pub intempestives.
+ d'infos:
https://forum.malekal.com/viewtopic.php?t=12214&start=
fais donc le reste, sans le vista sp2 stp.
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
2 janv. 2010 à 14:14
2 janv. 2010 à 14:14
Slt,
▶ Lance Hijackthis ( ou ce fichier : )
▶ Choisis " Do a system scan only "
▶ Coche ces lignes sur leurs gauche : (et uniquement celles ci !!)
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
▶ Clique sur " FIX CHECKED " et valide au message d'avertissement.
▶ Redémarre ton PC .
› Tutoriel , Fixer les lignes avec Hijackthis
==============================================
► Nettoyage :
• Passe une fois tout les deux jours un coup de nettoyage avec ATF-Cleaner , puis CCleaner .
• Passe Une fois tous les 15 jours , une défragmentation .
► Logiciels de protection :
⇒ Antivirus:
• Il existe beaucoup d'antivirus, parmi les meilleurs en gratuit, il y a Antivir
• Aide :
Tutoriel
Tutoriel de configuration en images
Tutoriel de configuration en video(MERCI NICO)
⇒ Anti-spyware:
Désactive Windows defander :
https://www.microsoft.com/en-us/windows/
Désinstalle Spybot.
• Télécharge et Installe Spyware-blaster,qui est léger en ressources, met le a jour régulièrement,et active toutes les protections (« Enable all protection »).
• Télécharge et installe Spyware Guard et garde le sur ton PC.
• Garde Malwarebytes en complément.
⇒ Firewall:
• Désactive le firewall de windows , car il ne vaut rien :
Sous XP
Sous Vista
• Je te conseille si tu n'as pas , afin d'installer un pare-feu pour mieux sécuriser ton PC , voici quelque uns que je trouve très bien :
› Online Armor Personal Firewall (gratuit)
› Kerio
› PC Tools Firewall Plus (<= N'INSTALLE PAS SPYWARE DOCTOR !!!!)
› Tutoriel Online Armor
› Tutoriel Kerio
› Tutoriel PC Tools
⇒ Navigateur:
• Je te conseille de garder le navigateur Firefox par défaut. (MAIS LAISSE INTERNET EXPLORER POUR LES MISES A JOURS).
• Pour + de sécurité, lance le et installe les trois extensions de sécurité suivantes :
› WOT : pour se protéger des sites malveillants.
Tuto
› No Script
Tutoriel et test No Script
› Adblock Plus , Pour bloquer les pubs.
Tutoriel d'utilisation
► Surveillance :
• Fais un scan avec ton antivirus a chaque fin de semaine (mets le a jour avant de lancer le scan)
• Mets a jour régulièrement Malwarebyte's , fais un scan rapide a chaque semaine.
• Mets a jour régulièrement Windows , vérifie que les mises a jours automatiques sont bien activés :
› Démarrer > Panneau de configuration
choisis l'icône Windows Update, coche la case Mise à jour automatique. Ainsi, Windows et les autres produits de Microsoft comme Internet Explorer, Windows Defender, Windows Media Player etc...
• Mets a jour régulièrement Java , adobe reader , comme expliqué
• Utilise régulièrement Update checker comme expliqué .
• Fais régulièrement une sauvegarde de donnés , sur un support externe.
► Je t'invite a lire ces articles ( 30 Minutes de lecture très instructive) :
Le danger des cracks
les risques sécuritaires du P2P
Sécuriser son ordinateur et connaitre les menaces (Merci Malekal)
Prévention & Protection sur internet (Grand merci aux auteurs de ce très bon PDF)
Voila, bonne lecture et une fois tous ceci fait et lu tu peux mettre le topic comme résolu.
Bon surf, et soit plus vigilent(e) a l'avenir ! ;)
Cordialement, Fix :)
▶ Lance Hijackthis ( ou ce fichier : )
▶ Choisis " Do a system scan only "
▶ Coche ces lignes sur leurs gauche : (et uniquement celles ci !!)
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
▶ Clique sur " FIX CHECKED " et valide au message d'avertissement.
▶ Redémarre ton PC .
› Tutoriel , Fixer les lignes avec Hijackthis
==============================================
► Nettoyage :
• Passe une fois tout les deux jours un coup de nettoyage avec ATF-Cleaner , puis CCleaner .
• Passe Une fois tous les 15 jours , une défragmentation .
► Logiciels de protection :
⇒ Antivirus:
• Il existe beaucoup d'antivirus, parmi les meilleurs en gratuit, il y a Antivir
• Aide :
Tutoriel
Tutoriel de configuration en images
Tutoriel de configuration en video(MERCI NICO)
⇒ Anti-spyware:
Désactive Windows defander :
https://www.microsoft.com/en-us/windows/
Désinstalle Spybot.
• Télécharge et Installe Spyware-blaster,qui est léger en ressources, met le a jour régulièrement,et active toutes les protections (« Enable all protection »).
• Télécharge et installe Spyware Guard et garde le sur ton PC.
• Garde Malwarebytes en complément.
⇒ Firewall:
• Désactive le firewall de windows , car il ne vaut rien :
Sous XP
Sous Vista
• Je te conseille si tu n'as pas , afin d'installer un pare-feu pour mieux sécuriser ton PC , voici quelque uns que je trouve très bien :
› Online Armor Personal Firewall (gratuit)
› Kerio
› PC Tools Firewall Plus (<= N'INSTALLE PAS SPYWARE DOCTOR !!!!)
› Tutoriel Online Armor
› Tutoriel Kerio
› Tutoriel PC Tools
⇒ Navigateur:
• Je te conseille de garder le navigateur Firefox par défaut. (MAIS LAISSE INTERNET EXPLORER POUR LES MISES A JOURS).
• Pour + de sécurité, lance le et installe les trois extensions de sécurité suivantes :
› WOT : pour se protéger des sites malveillants.
Tuto
› No Script
Tutoriel et test No Script
› Adblock Plus , Pour bloquer les pubs.
Tutoriel d'utilisation
► Surveillance :
• Fais un scan avec ton antivirus a chaque fin de semaine (mets le a jour avant de lancer le scan)
• Mets a jour régulièrement Malwarebyte's , fais un scan rapide a chaque semaine.
• Mets a jour régulièrement Windows , vérifie que les mises a jours automatiques sont bien activés :
› Démarrer > Panneau de configuration
choisis l'icône Windows Update, coche la case Mise à jour automatique. Ainsi, Windows et les autres produits de Microsoft comme Internet Explorer, Windows Defender, Windows Media Player etc...
• Mets a jour régulièrement Java , adobe reader , comme expliqué
• Utilise régulièrement Update checker comme expliqué .
• Fais régulièrement une sauvegarde de donnés , sur un support externe.
► Je t'invite a lire ces articles ( 30 Minutes de lecture très instructive) :
Le danger des cracks
les risques sécuritaires du P2P
Sécuriser son ordinateur et connaitre les menaces (Merci Malekal)
Prévention & Protection sur internet (Grand merci aux auteurs de ce très bon PDF)
Voila, bonne lecture et une fois tous ceci fait et lu tu peux mettre le topic comme résolu.
Bon surf, et soit plus vigilent(e) a l'avenir ! ;)
Cordialement, Fix :)
J'ai tout fait, parcontre j'sais pas si sa pose problème :
J'ai désinstaller spybot après avoir installer spyware-blaster et spyware guard..
Et pendant l'install de Online Armor windows m'a envoyer un message comme quoi il ne pouvait pas savoir si ce pilote était pas un logiciel malveillant, qu'il n'avait pas de signature numérique...J'ai cliquer sur installer quand même...
Voilà, c'est la fin =) ! Après 3 semaines acharnée lol !
Je te remercie infiniment pour tout le boulot que tu as fourni, c'est vraiment super de savoir qu'il y a des gens comme toi sur la toile, puis tu m'a appris beaucoup de chose, j'éspère que mon ordi restera propre, c'est à moi de faire attention en tout cas =), mais je suis bien armé grâce à toi !
Encore une fois, merci Fix200, et bonne continuation mon ami ! =)
Cordialement, Moonboxx ^^
J'ai désinstaller spybot après avoir installer spyware-blaster et spyware guard..
Et pendant l'install de Online Armor windows m'a envoyer un message comme quoi il ne pouvait pas savoir si ce pilote était pas un logiciel malveillant, qu'il n'avait pas de signature numérique...J'ai cliquer sur installer quand même...
Voilà, c'est la fin =) ! Après 3 semaines acharnée lol !
Je te remercie infiniment pour tout le boulot que tu as fourni, c'est vraiment super de savoir qu'il y a des gens comme toi sur la toile, puis tu m'a appris beaucoup de chose, j'éspère que mon ordi restera propre, c'est à moi de faire attention en tout cas =), mais je suis bien armé grâce à toi !
Encore une fois, merci Fix200, et bonne continuation mon ami ! =)
Cordialement, Moonboxx ^^
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Tu as essayé avec Spybot ?
Si tu n'a pas Spybot, tu peux le télécharger ici : http://www.spybotupdates.com/files/spybotsd162.exe
Tu peux voir si tu as des virus et les détruires. Bonne chance ;)
Tu peux voir si tu as des virus et les détruires. Bonne chance ;)
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
14 déc. 2009 à 11:29
14 déc. 2009 à 11:29
Bonjour,
Stop tout, spybot ne fera rien du tout avec du TDSS.
Fais ceci:
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
▶ Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer.
▶ Lance Gmer.
▶ Clique sur l'onglet " Rootkit ",lance le scan. des lignes rouges peuvent apparaitre.
* Les lignes rouges indiquent la présence d'un rootkit. Poste moi le rapport gmer :
▶ Clique sur copy.
▶ Ouvre le bloc note > Edition > Coller.
▶ Poste le rapport .
Stop tout, spybot ne fera rien du tout avec du TDSS.
Fais ceci:
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
▶ Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer.
▶ Lance Gmer.
▶ Clique sur l'onglet " Rootkit ",lance le scan. des lignes rouges peuvent apparaitre.
* Les lignes rouges indiquent la présence d'un rootkit. Poste moi le rapport gmer :
▶ Clique sur copy.
▶ Ouvre le bloc note > Edition > Coller.
▶ Poste le rapport .
Salut fix200, j'ai arrêté la protection résidente d'avast, et j'ai stopper spybot, et j'avais fait une analyse avec Malwarebytes anti-malware et j'ai obtenu un texte (c'est juste pour te prévenir).
J'ai télecharger Gmer, je l'ai démarrer, je suis aller dans "Rootkit/Malware" et j'ai cliquer sur SCAN.
Sa a très vite tourné au bizarre, car un écran bleu avec une écriture blanche est apparu, je pense au message d'alerte de windows, le fameux écran bleu...
Donc je n'ai pas pu faire ta manip =S.
J'ai télecharger Gmer, je l'ai démarrer, je suis aller dans "Rootkit/Malware" et j'ai cliquer sur SCAN.
Sa a très vite tourné au bizarre, car un écran bleu avec une écriture blanche est apparu, je pense au message d'alerte de windows, le fameux écran bleu...
Donc je n'ai pas pu faire ta manip =S.
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
14 déc. 2009 à 13:14
14 déc. 2009 à 13:14
Re,
Alors poste moi le dernier rapport MBAM stp. (il se trouve dans l'onglet rapports/logs)
Alors poste moi le dernier rapport MBAM stp. (il se trouve dans l'onglet rapports/logs)
Voici le raport de Malware :
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3356
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
14/12/2009 12:40:50
mbam-log-2009-12-14 (12-40-50).txt
Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|I:\|J:\|K:\|L:\|M:\|N:\|)
Eléments examinés: 301518
Temps écoulé: 1 hour(s), 41 minute(s), 22 second(s)
Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6
Processus mémoire infecté(s):
C:\Windows\Temp\b.exe (Trojan.Dropper) -> Failed to unload process.
C:\Windows\Temp\c.exe (Trojan.Dropper) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
C:\Windows\System32\sshnas.dll (Trojan.FakeAlert) -> Delete on reboot.
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zagrebland (Trojan.Dropper) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vegas (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Program Files\Pcsx2\plugins\PadSSSPSX.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Temp\b.exe (Trojan.Dropper) -> Delete on reboot.
C:\Windows\Temp\c.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\System32\sshnas.dll (Trojan.FakeAlert) -> Delete on reboot.
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3356
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
14/12/2009 12:40:50
mbam-log-2009-12-14 (12-40-50).txt
Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|I:\|J:\|K:\|L:\|M:\|N:\|)
Eléments examinés: 301518
Temps écoulé: 1 hour(s), 41 minute(s), 22 second(s)
Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6
Processus mémoire infecté(s):
C:\Windows\Temp\b.exe (Trojan.Dropper) -> Failed to unload process.
C:\Windows\Temp\c.exe (Trojan.Dropper) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
C:\Windows\System32\sshnas.dll (Trojan.FakeAlert) -> Delete on reboot.
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zagrebland (Trojan.Dropper) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vegas (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Program Files\Pcsx2\plugins\PadSSSPSX.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Temp\b.exe (Trojan.Dropper) -> Delete on reboot.
C:\Windows\Temp\c.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\System32\sshnas.dll (Trojan.FakeAlert) -> Delete on reboot.
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
14 déc. 2009 à 17:33
14 déc. 2009 à 17:33
Re,
Télécharge SysProt ( De Swatkat ) sur ton bureau :
▶ ! Déconnecte toi, ferme toutes tes applications le temps de la manipe !
▶ ! Désactive tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !
▶ Double clique sur SysProt.exe afin de le lancer.
▶ Clique sur l'onglet "log"
▶ Coche toutes les cases présentes dans l'encadré "Write to log" .
▶ Puis clique sur le bouton en bas à droite [Create Log] .
▶ Le scan démarre , laisse travailler l'outil ( même si il semble avoir planté ...)
▶ Au bout d'un moment, une fenêtre va apparaitre : laisse bien "Scan all drives " coché et clique sur [Start] .
▶ Patiente de nouveau ... attends le message de fin indiquant la creation du rapport et clique sur "OK"
=> Ferme SysProt, et copie/colle le contenu du rapport ( SysProtLog.txt ) qui a été sauvegardé sur ton bureau dans ta prochaine réponse.
Télécharge SysProt ( De Swatkat ) sur ton bureau :
▶ ! Déconnecte toi, ferme toutes tes applications le temps de la manipe !
▶ ! Désactive tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !
▶ Double clique sur SysProt.exe afin de le lancer.
▶ Clique sur l'onglet "log"
▶ Coche toutes les cases présentes dans l'encadré "Write to log" .
▶ Puis clique sur le bouton en bas à droite [Create Log] .
▶ Le scan démarre , laisse travailler l'outil ( même si il semble avoir planté ...)
▶ Au bout d'un moment, une fenêtre va apparaitre : laisse bien "Scan all drives " coché et clique sur [Start] .
▶ Patiente de nouveau ... attends le message de fin indiquant la creation du rapport et clique sur "OK"
=> Ferme SysProt, et copie/colle le contenu du rapport ( SysProtLog.txt ) qui a été sauvegardé sur ton bureau dans ta prochaine réponse.
Je pense que c'est par ce que le texte est trop long, je vais le séparer en plusieurs partie :
PARTIE 1
SysProt AntiRootkit v1.0.1.0
by swatkat
******************************************************************************************
******************************************************************************************
Process:
Name: [System Idle Process]
PID: 0
Hidden: No
Window Visible: No
Name: System
PID: 4
Hidden: No
Window Visible: No
Name: C:\Windows\System32\smss.exe
PID: 456
Hidden: No
Window Visible: No
Name: C:\Windows\System32\csrss.exe
PID: 532
Hidden: No
Window Visible: No
Name: C:\Windows\System32\wininit.exe
PID: 584
Hidden: No
Window Visible: No
Name: C:\Windows\System32\csrss.exe
PID: 592
Hidden: No
Window Visible: No
Name: C:\Windows\System32\services.exe
PID: 632
Hidden: No
Window Visible: No
Name: C:\Windows\System32\lsass.exe
PID: 644
Hidden: No
Window Visible: No
Name: C:\Windows\System32\lsm.exe
PID: 652
Hidden: No
Window Visible: No
Name: C:\Windows\System32\winlogon.exe
PID: 680
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 844
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 920
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 960
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 1052
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 1132
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 1168
Hidden: No
Window Visible: No
Name: C:\Windows\System32\audiodg.exe
PID: 1260
Hidden: No
Window Visible: No
Name: C:\Windows\System32\SLsvc.exe
PID: 1300
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 1396
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 1508
Hidden: No
Window Visible: No
Name: C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
PID: 1584
Hidden: No
Window Visible: No
Name: C:\Program Files\Alwil Software\Avast4\ashServ.exe
PID: 1632
Hidden: No
Window Visible: No
Name: C:\Windows\System32\spoolsv.exe
PID: 1852
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 1896
Hidden: No
Window Visible: No
Name: C:\Windows\System32\taskeng.exe
PID: 832
Hidden: No
Window Visible: No
Name: C:\Windows\System32\dwm.exe
PID: 1248
Hidden: No
Window Visible: Yes
Name: C:\Windows\explorer.exe
PID: 1008
Hidden: No
Window Visible: No
Name: C:\Windows\System32\taskeng.exe
PID: 1796
Hidden: No
Window Visible: No
Name: C:\Program Files\Windows Defender\MSASCui.exe
PID: 2224
Hidden: No
Window Visible: No
Name: C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe
PID: 2272
Hidden: No
Window Visible: No
Name: C:\Program Files\Alwil Software\Avast4\ashDisp.exe
PID: 2312
Hidden: No
Window Visible: No
Name: C:\Windows\System32\ServoApp.exe
PID: 2328
Hidden: No
Window Visible: No
Name: C:\Program Files\MFP Server\App\Common\MFPAgent.exe
PID: 2352
Hidden: No
Window Visible: No
Name: C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
PID: 2436
Hidden: No
Window Visible: No
Name: C:\Windows\WindowsMobile\wmdSync.exe
PID: 2516
Hidden: No
Window Visible: No
Name: C:\Program Files\Java\jre6\bin\jusched.exe
PID: 2524
Hidden: No
Window Visible: No
Name: C:\Program Files\iTunes\iTunesHelper.exe
PID: 2548
Hidden: No
Window Visible: No
Name: D:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
PID: 2564
Hidden: No
Window Visible: No
Name: C:\Program Files\Windows Sidebar\sidebar.exe
PID: 2604
Hidden: No
Window Visible: No
Name: C:\Program Files\DAEMON Tools Lite\daemon.exe
PID: 2720
Hidden: No
Window Visible: No
Name: C:\Windows\ehome\ehtray.exe
PID: 2728
Hidden: No
Window Visible: No
Name: C:\Program Files\Windows Media Player\wmpnscfg.exe
PID: 2748
Hidden: No
Window Visible: No
Name: C:\Program Files\Common Files\LightScribe\LSSrvc.exe
PID: 2812
Hidden: No
Window Visible: No
Name: C:\Windows\System32\rundll32.exe
PID: 2896
Hidden: No
Window Visible: No
Name: C:\Program Files\Microsoft LifeCam\MSCamS32.exe
PID: 2988
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 3060
Hidden: No
Window Visible: No
Name: C:\Program Files\CyberLink\Shared Files\RichVideo.exe
PID: 3144
Hidden: No
Window Visible: No
Name: C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
PID: 3176
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 3232
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 3264
Hidden: No
Window Visible: No
Name: C:\Windows\System32\SearchIndexer.exe
PID: 3332
Hidden: No
Window Visible: No
Name: C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
PID: 3392
Hidden: No
Window Visible: No
Name: C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
PID: 3536
Hidden: No
Window Visible: No
Name: C:\Windows\System32\WUDFHost.exe
PID: 3580
Hidden: No
Window Visible: No
Name: C:\Windows\System32\conime.exe
PID: 3716
Hidden: No
Window Visible: No
Name: C:\Windows\ehome\ehmsas.exe
PID: 1408
Hidden: No
Window Visible: No
Name: C:\Windows\System32\mobsync.exe
PID: 2092
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 3360
Hidden: No
Window Visible: No
Name: C:\Program Files\Windows Media Player\wmpnetwk.exe
PID: 2172
Hidden: No
Window Visible: No
Name: C:\Program Files\iPod\bin\iPodService.exe
PID: 4140
Hidden: No
Window Visible: No
Name: C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
PID: 4192
Hidden: No
Window Visible: No
Name: C:\Windows\System32\wuauclt.exe
PID: 2820
Hidden: No
Window Visible: No
Name: C:\Program Files\Java\jre6\bin\jucheck.exe
PID: 5412
Hidden: No
Window Visible: No
Name: C:\Windows\System32\SearchProtocolHost.exe
PID: 6132
Hidden: No
Window Visible: No
Name: C:\Users\Moonz\Desktop\SysProt\SysProt.exe
PID: 5128
Hidden: No
Window Visible: Yes
Name: C:\Windows\System32\SearchFilterHost.exe
PID: 5376
Hidden: No
Window Visible: No
Name: C:\Windows\System32\WerFault.exe
PID: 4952
Hidden: Yes
Window Visible: No
Name: C:\Windows\System32\dllhost.exe
PID: 3408
Hidden: No
Window Visible: No
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \??\C:\Users\Moonz\Desktop\SysProt\SysProtDrv.sys
Service Name: SysProtDrv.sys
Module Base: 9B9CF000
Module End: 9B9DA000
Hidden: No
Module Name: C:\Windows\system32\ntkrnlpa.exe
Service Name: ---
Module Base: 82236000
Module End: 825EF000
Hidden: No
Module Name: C:\Windows\system32\hal.dll
Service Name: ---
Module Base: 82203000
Module End: 82236000
Hidden: No
Module Name: C:\Windows\system32\kdcom.dll
Service Name: ---
Module Base: 80607000
Module End: 8060F000
Hidden: No
Module Name: C:\Windows\system32\mcupdate_GenuineIntel.dll
Service Name: ---
Module Base: 8060F000
Module End: 8066F000
Hidden: No
Module Name: C:\Windows\system32\PSHED.dll
Service Name: ---
Module Base: 8066F000
Module End: 80680000
Hidden: No
Module Name: C:\Windows\system32\BOOTVID.dll
Service Name: ---
Module Base: 80680000
Module End: 80688000
Hidden: No
Module Name: C:\Windows\system32\CLFS.SYS
Service Name: CLFS
Module Base: 80688000
Module End: 806C9000
Hidden: No
Module Name: C:\Windows\system32\CI.dll
Service Name: ---
Module Base: 806C9000
Module End: 807A9000
Hidden: No
Module Name: C:\Windows\system32\drivers\Wdf01000.sys
Service Name: Wdf01000
Module Base: 82C0D000
Module End: 82C89000
Hidden: No
Module Name: C:\Windows\system32\drivers\WDFLDR.SYS
Service Name: ---
Module Base: 82C89000
Module End: 82C96000
Hidden: No
Module Name: \SystemRoot\System32\Drivers\spln.sys
Service Name: ---
Module Base: 82C96000
Module End: 82D97000
Hidden: Yes
Module Name: C:\Windows\System32\Drivers\WMILIB.SYS
Service Name: ---
Module Base: 82D97000
Module End: 82DA0000
Hidden: No
Module Name: C:\Windows\System32\Drivers\SCSIPORT.SYS
Service Name: ---
Module Base: 82DA0000
Module End: 82DC6000
Hidden: No
Module Name: C:\Windows\system32\drivers\acpi.sys
Service Name: ACPI
Module Base: 807A9000
Module End: 807EF000
Hidden: No
Module Name: C:\Windows\system32\drivers\msisadrv.sys
Service Name: msisadrv
Module Base: 82DC6000
Module End: 82DCE000
Hidden: No
Module Name: C:\Windows\system32\drivers\pci.sys
Service Name: pci
Module Base: 82DCE000
Module End: 82DF5000
Hidden: No
Module Name: C:\Windows\System32\drivers\partmgr.sys
Service Name: partmgr
Module Base: 807EF000
Module End: 807FE000
Hidden: No
Module Name: C:\Windows\system32\drivers\volmgr.sys
Service Name: volmgr
Module Base: 82E05000
Module End: 82E14000
Hidden: No
Module Name: C:\Windows\System32\drivers\volmgrx.sys
Service Name: volmgrx
Module Base: 82E14000
Module End: 82E5E000
Hidden: No
Module Name: C:\Windows\system32\drivers\viaide.sys
Service Name: viaide
Module Base: 82E5E000
Module End: 82E66000
Hidden: No
Module Name: C:\Windows\system32\drivers\PCIIDEX.SYS
Service Name: ---
Module Base: 82E66000
Module End: 82E74000
Hidden: No
Module Name: C:\Windows\System32\drivers\mountmgr.sys
Service Name: MountMgr
Module Base: 82E74000
Module End: 82E84000
Hidden: No
Module Name: C:\Windows\system32\drivers\atapi.sys
Service Name: atapi
Module Base: 82E84000
Module End: 82E8C000
Hidden: No
Module Name: C:\Windows\system32\drivers\ataport.SYS
Service Name: ---
Module Base: 82E8C000
Module End: 82EAA000
Hidden: No
Module Name: C:\Windows\system32\drivers\fltmgr.sys
Service Name: FltMgr
Module Base: 82EAA000
Module End: 82EDC000
Hidden: No
Module Name: C:\Windows\system32\drivers\fileinfo.sys
Service Name: FileInfo
Module Base: 82EDC000
Module End: 82EEC000
Hidden: No
Module Name: C:\Windows\System32\Drivers\ksecdd.sys
Service Name: KSecDD
Module Base: 82EEC000
Module End: 82F5D000
Hidden: No
Module Name: C:\Windows\system32\drivers\ndis.sys
Service Name: NDIS
Module Base: 8820A000
Module End: 88315000
Hidden: No
Module Name: C:\Windows\system32\drivers\NETIO.SYS
Service Name: ---
Module Base: 88340000
Module End: 8837A000
Hidden: No
Module Name: C:\Windows\System32\drivers\tcpip.sys
Service Name: Tcpip
Module Base: 8840B000
Module End: 884F4000
Hidden: No
Module Name: C:\Windows\System32\drivers\fwpkclnt.sys
Service Name: ---
Module Base: 884F4000
Module End: 8850F000
Hidden: No
Module Name: C:\Windows\System32\Drivers\Ntfs.sys
Service Name: Ntfs
Module Base: 8860F000
Module End: 8871E000
Hidden: No
Module Name: C:\Windows\system32\drivers\volsnap.sys
Service Name: volsnap
Module Base: 8871E000
Module End: 88757000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\uagp35.sys
Service Name: uagp35
Module Base: 88757000
Module End: 88768000
Hidden: No
Module Name: C:\Windows\System32\Drivers\spldr.sys
Service Name: spldr
Module Base: 88768000
Module End: 88770000
Hidden: No
Module Name: C:\Windows\System32\Drivers\mup.sys
Service Name: Mup
Module Base: 88770000
Module End: 8877F000
Hidden: No
Module Name: C:\Windows\System32\drivers\ecache.sys
Service Name: Ecache
Module Base: 8877F000
Module End: 887A6000
Hidden: No
Module Name: C:\Windows\system32\drivers\disk.sys
Service Name: disk
Module Base: 887A6000
Module End: 887B7000
Hidden: No
Module Name: C:\Windows\system32\drivers\CLASSPNP.SYS
Service Name: ---
Module Base: 887B7000
Module End: 887D8000
Hidden: No
Module Name: C:\Windows\system32\drivers\crcdisk.sys
Service Name: crcdisk
Module Base: 887D8000
Module End: 887E1000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\tunnel.sys
Service Name: tunnel
Module Base: 8850F000
Module End: 8851A000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\tunmp.sys
Service Name: tunmp
Module Base: 8851A000
Module End: 88523000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\intelppm.sys
Service Name: intelppm
Module Base: 88523000
Module End: 88532000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\nvlddmkm.sys
Service Name: nvlddmkm
Module Base: 8CC03000
Module End: 8D043000
Hidden: No
Module Name: C:\Windows\System32\drivers\dxgkrnl.sys
Service Name: DXGKrnl
Module Base: 8D043000
Module End: 8D0E2000
Hidden: No
Module Name: C:\Windows\System32\drivers\watchdog.sys
Service Name: ---
Module Base: 8D0E2000
Module End: 8D0EF000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\cdrom.sys
Service Name: cdrom
Module Base: 8D0EF000
Module End: 8D107000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\GEARAspiWDM.sys
Service Name: GEARAspiWDM
Module Base: 8D107000
Module End: 8D10D000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\usbuhci.sys
Service Name: usbuhci
Module Base: 8D10D000
Module End: 8D118000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\USBPORT.SYS
Service Name: ---
Module Base: 8D118000
Module End: 8D156000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\usbehci.sys
Service Name: usbehci
Module Base: 8D156000
Module End: 8D165000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\fetnd5.sys
Service Name: FETNDIS
Module Base: 8D165000
Module End: 8D171000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\HDAudBus.sys
Service Name: HDAudBus
Module Base: 8D171000
Module End: 8D183000
Hidden: No
Module Name: \SystemRoot\System32\Drivers\a80tc5ot.SYS
Service Name: ---
Module Base: 8D183000
Module End: 8D1BB000
Hidden: Yes
Module Name: C:\Windows\system32\DRIVERS\serial.sys
Service Name: Serial
Module Base: 8D1BB000
Module End: 8D1D5000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\serenum.sys
Service Name: Serenum
Module Base: 8D1D5000
Module End: 8D1DF000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\parport.sys
Service Name: Parport
Module Base: 8D1DF000
Module End: 8D1F7000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\i8042prt.sys
Service Name: i8042prt
Module Base: 88532000
Module End: 88545000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\mouclass.sys
Service Name: mouclass
Module Base: 88545000
Module End: 88550000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\kbdclass.sys
Service Name: kbdclass
Module Base: 88550000
Module End: 8855B000
Hidden: No
Module Name: C:\Windows\System32\Drivers\x10hid.sys
Service Name: X10Hid
Module Base: 8D1F7000
Module End: 8D1F9000
Hidden: No
Module Name: C:\Windows\System32\Drivers\HIDCLASS.SYS
Service Name: ---
Module Base: 8855B000
Module End: 8856B000
Hidden: No
Module Name: C:\Windows\System32\Drivers\HIDPARSE.SYS
Service Name: ---
Module Base: 8D1F9000
Module End: 8D200000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\msiscsi.sys
Service Name: iScsiPrt
Module Base: 8856B000
Module End: 88599000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\storport.sys
Service Name: ---
Module Base: 88599000
Module End: 885DA000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\TDI.SYS
Service Name: ---
Module Base: 885DA000
Module End: 885E5000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\rasl2tp.sys
Service Name: Rasl2tp
Module Base: 885E5000
Module End: 885FC000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\ndistapi.sys
Service Name: NdisTapi
Module Base: 88400000
Module End: 8840B000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\ndiswan.sys
Service Name: NdisWan
Module Base: 8837A000
Module End: 8839D000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\raspppoe.sys
Service Name: RasPppoe
Module Base: 8839D000
Module End: 883AC000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\raspptp.sys
Service Name: PptpMiniport
Module Base: 883AC000
Module End: 883C0000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\rassstp.sys
Service Name: RasSstp
Module Base: 883C0000
Module End: 883D5000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\termdd.sys
Service Name: TermDD
Module Base: 883D5000
Module End: 883E5000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\swenum.sys
Service Name: swenum
Module Base: 8CC00000
Module End: 8CC02000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\ks.sys
Service Name: ---
Module Base: 82F5D000
Module End: 82F87000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\mfpvbus.sys
Service Name: WUSBVBus
Module Base: 88608000
Module End: 8860B000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\mssmbios.sys
Service Name: mssmbios
Module Base: 883E5000
Module End: 883EF000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\umbus.sys
Service Name: umbus
Module Base: 883EF000
Module End: 883FC000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\usbhub.sys
Service Name: usbhub
Module Base: 82F87000
Module End: 82FBB000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\kbdhid.sys
Service Name: kbdhid
Module Base: 88200000
Module End: 88209000
Hidden: No
Module Name: C:\Windows\System32\Drivers\NDProxy.SYS
Service Name: NDProxy
Module Base: 82FBB000
Module End: 82FCC000
Hidden: No
Module Name: C:\Windows\system32\drivers\viahduaa.sys
Service Name: HdAudAddService
Module Base: 82FD5000
Module End: 82FFD000
Hidden: No
Module Name: C:\Windows\system32\drivers\portcls.sys
Service Name: ---
Module Base: 8D60A000
Module End: 8D637000
Hidden: No
Module Name: C:\Windows\system32\drivers\drmk.sys
Service Name: ---
Module Base: 8D637000
Module End: 8D65C000
Hidden: No
Module Name: C:\Windows\System32\Drivers\Beep.SYS
Service Name: Beep
Module Base: 8D66C000
Module End: 8D673000
Hidden: No
Module Name: C:\Windows\System32\drivers\vga.sys
Service Name: vga
Module Base: 8D673000
Module End: 8D67F000
Hidden: No
Module Name: C:\Windows\System32\drivers\VIDEOPRT.SYS
Service Name: ---
Module Base: 8D67F000
Module End: 8D6A0000
Hidden: No
Module Name: C:\Windows\System32\DRIVERS\RDPCDD.sys
Service Name: RDPCDD
Module Base: 8D6A0000
Module End: 8D6A8000
Hidden: No
Module Name: C:\Windows\system32\drivers\rdpencdd.sys
Service Name: RDPENCDD
Module Base: 8D6A8000
Module End: 8D6B0000
Hidden: No
Module Name: C:\Windows\System32\Drivers\Npfs.SYS
Service Name: Npfs
Module Base: 8D6BB000
Module End: 8D6C9000
Hidden: No
Module Name: C:\Windows\System32\DRIVERS\rasacd.sys
Service Name: RasAcd
Module Base: 8D6C9000
Module End: 8D6D2000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\tdx.sys
Service Name: tdx
Module Base: 8D6D2000
Module End: 8D6E8000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\smb.sys
Service Name: Smb
Module Base: 8D6E8000
Module End: 8D6FC000
Hidden: No
Module Name: C:\Windows\System32\Drivers\aswTdi.SYS
Service Name: aswTdi
Module Base: 8D6FC000
Module End: 8D705000
Hidden: No
Module Name: C:\Windows\system32\drivers\afd.sys
Service Name: AFD
Module Base: 8D705000
Module End: 8D74D000
Hidden: No
Module Name: C:\Windows\System32\Drivers\aswRdr.SYS
Service Name: aswRdr
Module Base: 8D74D000
Module End: 8D751000
Hidden: No
Module Name: C:\Windows\System32\DRIVERS\netbt.sys
Service Name: netbt
Module Base: 8D751000
Module End: 8D783000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\pacer.sys
Service Name: PSched
Module Base: 8D783000
Module End: 8D799000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\netbios.sys
Service Name: NetBIOS
Module Base: 8D799000
Module End: 8D7A7000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\wanarp.sys
Service Name: Wanarp
Module Base: 8D7A7000
Module End: 8D7BA000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\rdbss.sys
Service Name: rdbss
Module Base: 8D7BA000
Module End: 8D7F6000
Hidden: No
Module Name: C:\Windows\system32\drivers\nsiproxy.sys
Service Name: nsiproxy
Module Base: 8D7F6000
Module End: 8D800000
Hidden: No
Module Name: C:\Windows\System32\Drivers\dfsc.sys
Service Name: DfsC
Module Base: 8D80C000
Module End: 8D823000
Hidden: No
Module Name: C:\Windows\System32\Drivers\aswSP.SYS
Service Name: aswSP
Module Base: 8D823000
Module End: 8D83A000
Hidden: No
Module Name: C:\Windows\System32\Drivers\fastfat.SYS
Service Name: fastfat
Module Base: 8D83A000
Module End: 8D862000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\usbccgp.sys
Service Name: usbccgp
Module Base: 8D862000
Module End: 8D879000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\USBD.SYS
Service Name: ---
Module Base: 8D879000
Module End: 8D87B000
Hidden: No
Module Name: C:\Windows\System32\Drivers\nx6000.sys
Service Name: MSHUSBVideo
Module Base: 8D87B000
Module End: 8D885000
Hidden: No
Module Name: C:\Windows\system32\drivers\LVUSBSta.sys
Service Name: LVUSBSta
Module Base: 8D885000
Module End: 8D88E000
Hidden: No
Module Name: C:\Windows\System32\Drivers\usbvideo.sys
Service Name: usbvideo
Module Base: 8D88E000
Module End: 8D8AF000
Hidden: No
PARTIE 1
SysProt AntiRootkit v1.0.1.0
by swatkat
******************************************************************************************
******************************************************************************************
Process:
Name: [System Idle Process]
PID: 0
Hidden: No
Window Visible: No
Name: System
PID: 4
Hidden: No
Window Visible: No
Name: C:\Windows\System32\smss.exe
PID: 456
Hidden: No
Window Visible: No
Name: C:\Windows\System32\csrss.exe
PID: 532
Hidden: No
Window Visible: No
Name: C:\Windows\System32\wininit.exe
PID: 584
Hidden: No
Window Visible: No
Name: C:\Windows\System32\csrss.exe
PID: 592
Hidden: No
Window Visible: No
Name: C:\Windows\System32\services.exe
PID: 632
Hidden: No
Window Visible: No
Name: C:\Windows\System32\lsass.exe
PID: 644
Hidden: No
Window Visible: No
Name: C:\Windows\System32\lsm.exe
PID: 652
Hidden: No
Window Visible: No
Name: C:\Windows\System32\winlogon.exe
PID: 680
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 844
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 920
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 960
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 1052
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 1132
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 1168
Hidden: No
Window Visible: No
Name: C:\Windows\System32\audiodg.exe
PID: 1260
Hidden: No
Window Visible: No
Name: C:\Windows\System32\SLsvc.exe
PID: 1300
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 1396
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 1508
Hidden: No
Window Visible: No
Name: C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
PID: 1584
Hidden: No
Window Visible: No
Name: C:\Program Files\Alwil Software\Avast4\ashServ.exe
PID: 1632
Hidden: No
Window Visible: No
Name: C:\Windows\System32\spoolsv.exe
PID: 1852
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 1896
Hidden: No
Window Visible: No
Name: C:\Windows\System32\taskeng.exe
PID: 832
Hidden: No
Window Visible: No
Name: C:\Windows\System32\dwm.exe
PID: 1248
Hidden: No
Window Visible: Yes
Name: C:\Windows\explorer.exe
PID: 1008
Hidden: No
Window Visible: No
Name: C:\Windows\System32\taskeng.exe
PID: 1796
Hidden: No
Window Visible: No
Name: C:\Program Files\Windows Defender\MSASCui.exe
PID: 2224
Hidden: No
Window Visible: No
Name: C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe
PID: 2272
Hidden: No
Window Visible: No
Name: C:\Program Files\Alwil Software\Avast4\ashDisp.exe
PID: 2312
Hidden: No
Window Visible: No
Name: C:\Windows\System32\ServoApp.exe
PID: 2328
Hidden: No
Window Visible: No
Name: C:\Program Files\MFP Server\App\Common\MFPAgent.exe
PID: 2352
Hidden: No
Window Visible: No
Name: C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
PID: 2436
Hidden: No
Window Visible: No
Name: C:\Windows\WindowsMobile\wmdSync.exe
PID: 2516
Hidden: No
Window Visible: No
Name: C:\Program Files\Java\jre6\bin\jusched.exe
PID: 2524
Hidden: No
Window Visible: No
Name: C:\Program Files\iTunes\iTunesHelper.exe
PID: 2548
Hidden: No
Window Visible: No
Name: D:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
PID: 2564
Hidden: No
Window Visible: No
Name: C:\Program Files\Windows Sidebar\sidebar.exe
PID: 2604
Hidden: No
Window Visible: No
Name: C:\Program Files\DAEMON Tools Lite\daemon.exe
PID: 2720
Hidden: No
Window Visible: No
Name: C:\Windows\ehome\ehtray.exe
PID: 2728
Hidden: No
Window Visible: No
Name: C:\Program Files\Windows Media Player\wmpnscfg.exe
PID: 2748
Hidden: No
Window Visible: No
Name: C:\Program Files\Common Files\LightScribe\LSSrvc.exe
PID: 2812
Hidden: No
Window Visible: No
Name: C:\Windows\System32\rundll32.exe
PID: 2896
Hidden: No
Window Visible: No
Name: C:\Program Files\Microsoft LifeCam\MSCamS32.exe
PID: 2988
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 3060
Hidden: No
Window Visible: No
Name: C:\Program Files\CyberLink\Shared Files\RichVideo.exe
PID: 3144
Hidden: No
Window Visible: No
Name: C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
PID: 3176
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 3232
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 3264
Hidden: No
Window Visible: No
Name: C:\Windows\System32\SearchIndexer.exe
PID: 3332
Hidden: No
Window Visible: No
Name: C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
PID: 3392
Hidden: No
Window Visible: No
Name: C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
PID: 3536
Hidden: No
Window Visible: No
Name: C:\Windows\System32\WUDFHost.exe
PID: 3580
Hidden: No
Window Visible: No
Name: C:\Windows\System32\conime.exe
PID: 3716
Hidden: No
Window Visible: No
Name: C:\Windows\ehome\ehmsas.exe
PID: 1408
Hidden: No
Window Visible: No
Name: C:\Windows\System32\mobsync.exe
PID: 2092
Hidden: No
Window Visible: No
Name: C:\Windows\System32\svchost.exe
PID: 3360
Hidden: No
Window Visible: No
Name: C:\Program Files\Windows Media Player\wmpnetwk.exe
PID: 2172
Hidden: No
Window Visible: No
Name: C:\Program Files\iPod\bin\iPodService.exe
PID: 4140
Hidden: No
Window Visible: No
Name: C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
PID: 4192
Hidden: No
Window Visible: No
Name: C:\Windows\System32\wuauclt.exe
PID: 2820
Hidden: No
Window Visible: No
Name: C:\Program Files\Java\jre6\bin\jucheck.exe
PID: 5412
Hidden: No
Window Visible: No
Name: C:\Windows\System32\SearchProtocolHost.exe
PID: 6132
Hidden: No
Window Visible: No
Name: C:\Users\Moonz\Desktop\SysProt\SysProt.exe
PID: 5128
Hidden: No
Window Visible: Yes
Name: C:\Windows\System32\SearchFilterHost.exe
PID: 5376
Hidden: No
Window Visible: No
Name: C:\Windows\System32\WerFault.exe
PID: 4952
Hidden: Yes
Window Visible: No
Name: C:\Windows\System32\dllhost.exe
PID: 3408
Hidden: No
Window Visible: No
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \??\C:\Users\Moonz\Desktop\SysProt\SysProtDrv.sys
Service Name: SysProtDrv.sys
Module Base: 9B9CF000
Module End: 9B9DA000
Hidden: No
Module Name: C:\Windows\system32\ntkrnlpa.exe
Service Name: ---
Module Base: 82236000
Module End: 825EF000
Hidden: No
Module Name: C:\Windows\system32\hal.dll
Service Name: ---
Module Base: 82203000
Module End: 82236000
Hidden: No
Module Name: C:\Windows\system32\kdcom.dll
Service Name: ---
Module Base: 80607000
Module End: 8060F000
Hidden: No
Module Name: C:\Windows\system32\mcupdate_GenuineIntel.dll
Service Name: ---
Module Base: 8060F000
Module End: 8066F000
Hidden: No
Module Name: C:\Windows\system32\PSHED.dll
Service Name: ---
Module Base: 8066F000
Module End: 80680000
Hidden: No
Module Name: C:\Windows\system32\BOOTVID.dll
Service Name: ---
Module Base: 80680000
Module End: 80688000
Hidden: No
Module Name: C:\Windows\system32\CLFS.SYS
Service Name: CLFS
Module Base: 80688000
Module End: 806C9000
Hidden: No
Module Name: C:\Windows\system32\CI.dll
Service Name: ---
Module Base: 806C9000
Module End: 807A9000
Hidden: No
Module Name: C:\Windows\system32\drivers\Wdf01000.sys
Service Name: Wdf01000
Module Base: 82C0D000
Module End: 82C89000
Hidden: No
Module Name: C:\Windows\system32\drivers\WDFLDR.SYS
Service Name: ---
Module Base: 82C89000
Module End: 82C96000
Hidden: No
Module Name: \SystemRoot\System32\Drivers\spln.sys
Service Name: ---
Module Base: 82C96000
Module End: 82D97000
Hidden: Yes
Module Name: C:\Windows\System32\Drivers\WMILIB.SYS
Service Name: ---
Module Base: 82D97000
Module End: 82DA0000
Hidden: No
Module Name: C:\Windows\System32\Drivers\SCSIPORT.SYS
Service Name: ---
Module Base: 82DA0000
Module End: 82DC6000
Hidden: No
Module Name: C:\Windows\system32\drivers\acpi.sys
Service Name: ACPI
Module Base: 807A9000
Module End: 807EF000
Hidden: No
Module Name: C:\Windows\system32\drivers\msisadrv.sys
Service Name: msisadrv
Module Base: 82DC6000
Module End: 82DCE000
Hidden: No
Module Name: C:\Windows\system32\drivers\pci.sys
Service Name: pci
Module Base: 82DCE000
Module End: 82DF5000
Hidden: No
Module Name: C:\Windows\System32\drivers\partmgr.sys
Service Name: partmgr
Module Base: 807EF000
Module End: 807FE000
Hidden: No
Module Name: C:\Windows\system32\drivers\volmgr.sys
Service Name: volmgr
Module Base: 82E05000
Module End: 82E14000
Hidden: No
Module Name: C:\Windows\System32\drivers\volmgrx.sys
Service Name: volmgrx
Module Base: 82E14000
Module End: 82E5E000
Hidden: No
Module Name: C:\Windows\system32\drivers\viaide.sys
Service Name: viaide
Module Base: 82E5E000
Module End: 82E66000
Hidden: No
Module Name: C:\Windows\system32\drivers\PCIIDEX.SYS
Service Name: ---
Module Base: 82E66000
Module End: 82E74000
Hidden: No
Module Name: C:\Windows\System32\drivers\mountmgr.sys
Service Name: MountMgr
Module Base: 82E74000
Module End: 82E84000
Hidden: No
Module Name: C:\Windows\system32\drivers\atapi.sys
Service Name: atapi
Module Base: 82E84000
Module End: 82E8C000
Hidden: No
Module Name: C:\Windows\system32\drivers\ataport.SYS
Service Name: ---
Module Base: 82E8C000
Module End: 82EAA000
Hidden: No
Module Name: C:\Windows\system32\drivers\fltmgr.sys
Service Name: FltMgr
Module Base: 82EAA000
Module End: 82EDC000
Hidden: No
Module Name: C:\Windows\system32\drivers\fileinfo.sys
Service Name: FileInfo
Module Base: 82EDC000
Module End: 82EEC000
Hidden: No
Module Name: C:\Windows\System32\Drivers\ksecdd.sys
Service Name: KSecDD
Module Base: 82EEC000
Module End: 82F5D000
Hidden: No
Module Name: C:\Windows\system32\drivers\ndis.sys
Service Name: NDIS
Module Base: 8820A000
Module End: 88315000
Hidden: No
Module Name: C:\Windows\system32\drivers\NETIO.SYS
Service Name: ---
Module Base: 88340000
Module End: 8837A000
Hidden: No
Module Name: C:\Windows\System32\drivers\tcpip.sys
Service Name: Tcpip
Module Base: 8840B000
Module End: 884F4000
Hidden: No
Module Name: C:\Windows\System32\drivers\fwpkclnt.sys
Service Name: ---
Module Base: 884F4000
Module End: 8850F000
Hidden: No
Module Name: C:\Windows\System32\Drivers\Ntfs.sys
Service Name: Ntfs
Module Base: 8860F000
Module End: 8871E000
Hidden: No
Module Name: C:\Windows\system32\drivers\volsnap.sys
Service Name: volsnap
Module Base: 8871E000
Module End: 88757000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\uagp35.sys
Service Name: uagp35
Module Base: 88757000
Module End: 88768000
Hidden: No
Module Name: C:\Windows\System32\Drivers\spldr.sys
Service Name: spldr
Module Base: 88768000
Module End: 88770000
Hidden: No
Module Name: C:\Windows\System32\Drivers\mup.sys
Service Name: Mup
Module Base: 88770000
Module End: 8877F000
Hidden: No
Module Name: C:\Windows\System32\drivers\ecache.sys
Service Name: Ecache
Module Base: 8877F000
Module End: 887A6000
Hidden: No
Module Name: C:\Windows\system32\drivers\disk.sys
Service Name: disk
Module Base: 887A6000
Module End: 887B7000
Hidden: No
Module Name: C:\Windows\system32\drivers\CLASSPNP.SYS
Service Name: ---
Module Base: 887B7000
Module End: 887D8000
Hidden: No
Module Name: C:\Windows\system32\drivers\crcdisk.sys
Service Name: crcdisk
Module Base: 887D8000
Module End: 887E1000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\tunnel.sys
Service Name: tunnel
Module Base: 8850F000
Module End: 8851A000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\tunmp.sys
Service Name: tunmp
Module Base: 8851A000
Module End: 88523000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\intelppm.sys
Service Name: intelppm
Module Base: 88523000
Module End: 88532000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\nvlddmkm.sys
Service Name: nvlddmkm
Module Base: 8CC03000
Module End: 8D043000
Hidden: No
Module Name: C:\Windows\System32\drivers\dxgkrnl.sys
Service Name: DXGKrnl
Module Base: 8D043000
Module End: 8D0E2000
Hidden: No
Module Name: C:\Windows\System32\drivers\watchdog.sys
Service Name: ---
Module Base: 8D0E2000
Module End: 8D0EF000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\cdrom.sys
Service Name: cdrom
Module Base: 8D0EF000
Module End: 8D107000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\GEARAspiWDM.sys
Service Name: GEARAspiWDM
Module Base: 8D107000
Module End: 8D10D000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\usbuhci.sys
Service Name: usbuhci
Module Base: 8D10D000
Module End: 8D118000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\USBPORT.SYS
Service Name: ---
Module Base: 8D118000
Module End: 8D156000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\usbehci.sys
Service Name: usbehci
Module Base: 8D156000
Module End: 8D165000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\fetnd5.sys
Service Name: FETNDIS
Module Base: 8D165000
Module End: 8D171000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\HDAudBus.sys
Service Name: HDAudBus
Module Base: 8D171000
Module End: 8D183000
Hidden: No
Module Name: \SystemRoot\System32\Drivers\a80tc5ot.SYS
Service Name: ---
Module Base: 8D183000
Module End: 8D1BB000
Hidden: Yes
Module Name: C:\Windows\system32\DRIVERS\serial.sys
Service Name: Serial
Module Base: 8D1BB000
Module End: 8D1D5000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\serenum.sys
Service Name: Serenum
Module Base: 8D1D5000
Module End: 8D1DF000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\parport.sys
Service Name: Parport
Module Base: 8D1DF000
Module End: 8D1F7000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\i8042prt.sys
Service Name: i8042prt
Module Base: 88532000
Module End: 88545000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\mouclass.sys
Service Name: mouclass
Module Base: 88545000
Module End: 88550000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\kbdclass.sys
Service Name: kbdclass
Module Base: 88550000
Module End: 8855B000
Hidden: No
Module Name: C:\Windows\System32\Drivers\x10hid.sys
Service Name: X10Hid
Module Base: 8D1F7000
Module End: 8D1F9000
Hidden: No
Module Name: C:\Windows\System32\Drivers\HIDCLASS.SYS
Service Name: ---
Module Base: 8855B000
Module End: 8856B000
Hidden: No
Module Name: C:\Windows\System32\Drivers\HIDPARSE.SYS
Service Name: ---
Module Base: 8D1F9000
Module End: 8D200000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\msiscsi.sys
Service Name: iScsiPrt
Module Base: 8856B000
Module End: 88599000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\storport.sys
Service Name: ---
Module Base: 88599000
Module End: 885DA000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\TDI.SYS
Service Name: ---
Module Base: 885DA000
Module End: 885E5000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\rasl2tp.sys
Service Name: Rasl2tp
Module Base: 885E5000
Module End: 885FC000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\ndistapi.sys
Service Name: NdisTapi
Module Base: 88400000
Module End: 8840B000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\ndiswan.sys
Service Name: NdisWan
Module Base: 8837A000
Module End: 8839D000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\raspppoe.sys
Service Name: RasPppoe
Module Base: 8839D000
Module End: 883AC000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\raspptp.sys
Service Name: PptpMiniport
Module Base: 883AC000
Module End: 883C0000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\rassstp.sys
Service Name: RasSstp
Module Base: 883C0000
Module End: 883D5000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\termdd.sys
Service Name: TermDD
Module Base: 883D5000
Module End: 883E5000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\swenum.sys
Service Name: swenum
Module Base: 8CC00000
Module End: 8CC02000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\ks.sys
Service Name: ---
Module Base: 82F5D000
Module End: 82F87000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\mfpvbus.sys
Service Name: WUSBVBus
Module Base: 88608000
Module End: 8860B000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\mssmbios.sys
Service Name: mssmbios
Module Base: 883E5000
Module End: 883EF000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\umbus.sys
Service Name: umbus
Module Base: 883EF000
Module End: 883FC000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\usbhub.sys
Service Name: usbhub
Module Base: 82F87000
Module End: 82FBB000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\kbdhid.sys
Service Name: kbdhid
Module Base: 88200000
Module End: 88209000
Hidden: No
Module Name: C:\Windows\System32\Drivers\NDProxy.SYS
Service Name: NDProxy
Module Base: 82FBB000
Module End: 82FCC000
Hidden: No
Module Name: C:\Windows\system32\drivers\viahduaa.sys
Service Name: HdAudAddService
Module Base: 82FD5000
Module End: 82FFD000
Hidden: No
Module Name: C:\Windows\system32\drivers\portcls.sys
Service Name: ---
Module Base: 8D60A000
Module End: 8D637000
Hidden: No
Module Name: C:\Windows\system32\drivers\drmk.sys
Service Name: ---
Module Base: 8D637000
Module End: 8D65C000
Hidden: No
Module Name: C:\Windows\System32\Drivers\Beep.SYS
Service Name: Beep
Module Base: 8D66C000
Module End: 8D673000
Hidden: No
Module Name: C:\Windows\System32\drivers\vga.sys
Service Name: vga
Module Base: 8D673000
Module End: 8D67F000
Hidden: No
Module Name: C:\Windows\System32\drivers\VIDEOPRT.SYS
Service Name: ---
Module Base: 8D67F000
Module End: 8D6A0000
Hidden: No
Module Name: C:\Windows\System32\DRIVERS\RDPCDD.sys
Service Name: RDPCDD
Module Base: 8D6A0000
Module End: 8D6A8000
Hidden: No
Module Name: C:\Windows\system32\drivers\rdpencdd.sys
Service Name: RDPENCDD
Module Base: 8D6A8000
Module End: 8D6B0000
Hidden: No
Module Name: C:\Windows\System32\Drivers\Npfs.SYS
Service Name: Npfs
Module Base: 8D6BB000
Module End: 8D6C9000
Hidden: No
Module Name: C:\Windows\System32\DRIVERS\rasacd.sys
Service Name: RasAcd
Module Base: 8D6C9000
Module End: 8D6D2000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\tdx.sys
Service Name: tdx
Module Base: 8D6D2000
Module End: 8D6E8000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\smb.sys
Service Name: Smb
Module Base: 8D6E8000
Module End: 8D6FC000
Hidden: No
Module Name: C:\Windows\System32\Drivers\aswTdi.SYS
Service Name: aswTdi
Module Base: 8D6FC000
Module End: 8D705000
Hidden: No
Module Name: C:\Windows\system32\drivers\afd.sys
Service Name: AFD
Module Base: 8D705000
Module End: 8D74D000
Hidden: No
Module Name: C:\Windows\System32\Drivers\aswRdr.SYS
Service Name: aswRdr
Module Base: 8D74D000
Module End: 8D751000
Hidden: No
Module Name: C:\Windows\System32\DRIVERS\netbt.sys
Service Name: netbt
Module Base: 8D751000
Module End: 8D783000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\pacer.sys
Service Name: PSched
Module Base: 8D783000
Module End: 8D799000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\netbios.sys
Service Name: NetBIOS
Module Base: 8D799000
Module End: 8D7A7000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\wanarp.sys
Service Name: Wanarp
Module Base: 8D7A7000
Module End: 8D7BA000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\rdbss.sys
Service Name: rdbss
Module Base: 8D7BA000
Module End: 8D7F6000
Hidden: No
Module Name: C:\Windows\system32\drivers\nsiproxy.sys
Service Name: nsiproxy
Module Base: 8D7F6000
Module End: 8D800000
Hidden: No
Module Name: C:\Windows\System32\Drivers\dfsc.sys
Service Name: DfsC
Module Base: 8D80C000
Module End: 8D823000
Hidden: No
Module Name: C:\Windows\System32\Drivers\aswSP.SYS
Service Name: aswSP
Module Base: 8D823000
Module End: 8D83A000
Hidden: No
Module Name: C:\Windows\System32\Drivers\fastfat.SYS
Service Name: fastfat
Module Base: 8D83A000
Module End: 8D862000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\usbccgp.sys
Service Name: usbccgp
Module Base: 8D862000
Module End: 8D879000
Hidden: No
Module Name: C:\Windows\system32\DRIVERS\USBD.SYS
Service Name: ---
Module Base: 8D879000
Module End: 8D87B000
Hidden: No
Module Name: C:\Windows\System32\Drivers\nx6000.sys
Service Name: MSHUSBVideo
Module Base: 8D87B000
Module End: 8D885000
Hidden: No
Module Name: C:\Windows\system32\drivers\LVUSBSta.sys
Service Name: LVUSBSta
Module Base: 8D885000
Module End: 8D88E000
Hidden: No
Module Name: C:\Windows\System32\Drivers\usbvideo.sys
Service Name: usbvideo
Module Base: 8D88E000
Module End: 8D8AF000
Hidden: No
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
15 déc. 2009 à 13:37
15 déc. 2009 à 13:37
Salut,
Transmet le via cijoint.fr et colle le lien obtenu en échange:
http://www.cijoint.fr/
Transmet le via cijoint.fr et colle le lien obtenu en échange:
http://www.cijoint.fr/
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
15 déc. 2009 à 13:39
15 déc. 2009 à 13:39
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
15 déc. 2009 à 17:41
15 déc. 2009 à 17:41
Re,
Télécharge SEAF.exe (de C_XX) sur ton bureau.
▶ Double clique sur SEAF.exe (Exécuter en tant qu'administrateur pour Vista) .
▶ Une fenêtre "cmd" va s'ouvrir .
▶ Tape exactement ce texte dans cette fenêtre puis valide par [Entrée] :
tdlclk
▶ Patiente pendant la recherche, et ne touche a rien ...
▶ Une fenêtre avec un log .txt va s'afficher.
▶ Copie/colle ce rapport dans ta prochaine réponse.
=====================
Télécharge ZHPDiag (de Nicolas Coolman) et enregistre le sur ton Bureau.
▶ Double clique sur ZHPDiag.exe pour lancer l'installation et suis les instructions , n'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
▶ Double clique sur le raccourci ZHPDiag sur ton Bureau. (l'outil a créé 2 icônes ZHPDiag et ZHPFix)
▶ Clique sur le "Tournevis" puis sur Tous, puis décoche les cases O45 et O61.
▶ Clique sur la loupe pour lancer l'analyse.
⇒ Laisse l'outil travailler, il peut être assez long ...
▶ Une fois terminé , le rapport s'affiche : clique sur bouton "Disquette" pour sauvegarder le rapport obtenu .
▶ Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).
▶ Pour le transmettre ouvre ce lien
* Clique sur Parcourir et cherche le fichier ci-dessus.
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
* Un lien de cette forme est ajouté dans la page :
hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
▶ Copie ce lien dans ta réponse.
Télécharge SEAF.exe (de C_XX) sur ton bureau.
▶ Double clique sur SEAF.exe (Exécuter en tant qu'administrateur pour Vista) .
▶ Une fenêtre "cmd" va s'ouvrir .
▶ Tape exactement ce texte dans cette fenêtre puis valide par [Entrée] :
tdlclk
▶ Patiente pendant la recherche, et ne touche a rien ...
▶ Une fenêtre avec un log .txt va s'afficher.
▶ Copie/colle ce rapport dans ta prochaine réponse.
=====================
Télécharge ZHPDiag (de Nicolas Coolman) et enregistre le sur ton Bureau.
▶ Double clique sur ZHPDiag.exe pour lancer l'installation et suis les instructions , n'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
▶ Double clique sur le raccourci ZHPDiag sur ton Bureau. (l'outil a créé 2 icônes ZHPDiag et ZHPFix)
▶ Clique sur le "Tournevis" puis sur Tous, puis décoche les cases O45 et O61.
▶ Clique sur la loupe pour lancer l'analyse.
⇒ Laisse l'outil travailler, il peut être assez long ...
▶ Une fois terminé , le rapport s'affiche : clique sur bouton "Disquette" pour sauvegarder le rapport obtenu .
▶ Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).
▶ Pour le transmettre ouvre ce lien
* Clique sur Parcourir et cherche le fichier ci-dessus.
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
* Un lien de cette forme est ajouté dans la page :
hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
▶ Copie ce lien dans ta réponse.
1 er rapport :
1. ========================= SEAF 1.0.0.6 - C_XX | 17:43:04,80
2.
3. Valeur(s) recherchée(s):
4.
5. tdlckl
6.
7.
8. ========================= Fichier(s)/Dossier(s):
9.
10. Aucun fichier/Dossier trouvé.
11.
12. ========================= Registre:
13.
14. Aucun élément du registre trouvé.
15.
16. ========================= E.O.F | 17:57:43,80
2 ème rapport : http://www.cijoint.fr/cjlink.php?file=cj200912/cijGH1XOo9.txt
1. ========================= SEAF 1.0.0.6 - C_XX | 17:43:04,80
2.
3. Valeur(s) recherchée(s):
4.
5. tdlckl
6.
7.
8. ========================= Fichier(s)/Dossier(s):
9.
10. Aucun fichier/Dossier trouvé.
11.
12. ========================= Registre:
13.
14. Aucun élément du registre trouvé.
15.
16. ========================= E.O.F | 17:57:43,80
2 ème rapport : http://www.cijoint.fr/cjlink.php?file=cj200912/cijGH1XOo9.txt
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
15 déc. 2009 à 19:09
15 déc. 2009 à 19:09
Désactiver le TeaTimer de Spybot (Merci à Nico):
=> Ouvrir Spybot S&D
=> Dans le menu "Mode", séléctionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
* Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.
=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le réouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.
============
Télécharge ToolBar S&D (Team IDN )
▶ Lance l'installation du programme en exécutant le fichier téléchargé et laisse le te guider pendant l'installation ..
▶ Sous XP : Double-clique sur le raccourci de Toolbar-S&D.
▶ Sous Vista : Fais un clic droit sur le raccourci ToolbarS&D et choisis "exécuter en tant qu'administrateur"
▶ Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
▶ Tape sur "2" puis valide en appuyant sur "Entrée".
▶ ! Ne ferme pas la fenêtre lors de la suppression !
▶ Un rapport sera généré à la fin du processus : ⇒ poste son contenu dans ta prochaine réponse
Note : Si ton Bureau ne réapparaissait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." , Tape explorer puis valide.
============
Télécharge Lop S&D (De Team IDN)
▶ Double-clique sur Lop S&D.exe afin de lancer l'installation,
▶ /!\ Désactive les protections résidentes : Antivirus, anti-spyware, etc... pour que l'outil puisse s'exécuter correctement. /!\
▶ Puis double-clique sur le raccourci Lop S&D présent sur le Bureau,
▶ Sélectionne la langue souhaitée , puis choisis l'Option 2 ( Suppression + hosts)
▶ A l'issue du scan, le bloc notes va s'ouvrir avec le résultat de la recherche, copie - colle les résultats a ta prochaine réponse.
=============
Télécharge UsbFix (de C_XX , Chiquitine29, Chimay8)
▶ Lance le fichier téléchargé, ne touche pas aux paramètres de l'installe !.
▶ Branche tes sources de données externes à ton PC, (Clé USB, disque dur externe, carte mémoire, appareil photo ...) susceptible d'avoir été infectés , mais sans les ouvrir
▶ Double clique sur le raccourci UsbFix sur ton bureau
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu choisis l'option 2 ( Suppression )
▶ Ton bureau disparaîtra et le PC redémarrera . (c'est normal)
▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche a rien.
▶ Une fois terminé, Poste le rapport UsbFix.txt qui apparaîtra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
Aide : :
Comment Utiliser UsbFix
~~~~
▶ Rends sur cette page .
▶ Clique sur "parcourir" et va jusqu'au fichier UsbFix_Upload_Me_xxxx.zip qui se trouve sur ton bureau .
▶ Clique sur "Envoyer le fichier" , et patiente jusqu'à la fin du transfère .
▶ Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_xxxx.zip ...
Merci d'avoir envoyé le fichier , cela permettra aux auteurs de cet l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant . ^^
===============
Refais un scan ZHPDiag, coche bien toutes les options (sauf la 045 et 061), poste le nouveau rapport obtenu (via Cijoint).
=> Ouvrir Spybot S&D
=> Dans le menu "Mode", séléctionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
* Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.
=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le réouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.
============
Télécharge ToolBar S&D (Team IDN )
▶ Lance l'installation du programme en exécutant le fichier téléchargé et laisse le te guider pendant l'installation ..
▶ Sous XP : Double-clique sur le raccourci de Toolbar-S&D.
▶ Sous Vista : Fais un clic droit sur le raccourci ToolbarS&D et choisis "exécuter en tant qu'administrateur"
▶ Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
▶ Tape sur "2" puis valide en appuyant sur "Entrée".
▶ ! Ne ferme pas la fenêtre lors de la suppression !
▶ Un rapport sera généré à la fin du processus : ⇒ poste son contenu dans ta prochaine réponse
Note : Si ton Bureau ne réapparaissait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." , Tape explorer puis valide.
============
Télécharge Lop S&D (De Team IDN)
▶ Double-clique sur Lop S&D.exe afin de lancer l'installation,
▶ /!\ Désactive les protections résidentes : Antivirus, anti-spyware, etc... pour que l'outil puisse s'exécuter correctement. /!\
▶ Puis double-clique sur le raccourci Lop S&D présent sur le Bureau,
▶ Sélectionne la langue souhaitée , puis choisis l'Option 2 ( Suppression + hosts)
▶ A l'issue du scan, le bloc notes va s'ouvrir avec le résultat de la recherche, copie - colle les résultats a ta prochaine réponse.
=============
Télécharge UsbFix (de C_XX , Chiquitine29, Chimay8)
▶ Lance le fichier téléchargé, ne touche pas aux paramètres de l'installe !.
▶ Branche tes sources de données externes à ton PC, (Clé USB, disque dur externe, carte mémoire, appareil photo ...) susceptible d'avoir été infectés , mais sans les ouvrir
▶ Double clique sur le raccourci UsbFix sur ton bureau
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu choisis l'option 2 ( Suppression )
▶ Ton bureau disparaîtra et le PC redémarrera . (c'est normal)
▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche a rien.
▶ Une fois terminé, Poste le rapport UsbFix.txt qui apparaîtra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
Aide : :
Comment Utiliser UsbFix
~~~~
▶ Rends sur cette page .
▶ Clique sur "parcourir" et va jusqu'au fichier UsbFix_Upload_Me_xxxx.zip qui se trouve sur ton bureau .
▶ Clique sur "Envoyer le fichier" , et patiente jusqu'à la fin du transfère .
▶ Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_xxxx.zip ...
Merci d'avoir envoyé le fichier , cela permettra aux auteurs de cet l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant . ^^
===============
Refais un scan ZHPDiag, coche bien toutes les options (sauf la 045 et 061), poste le nouveau rapport obtenu (via Cijoint).
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
15 déc. 2009 à 20:15
15 déc. 2009 à 20:15
Re,
Mdr ...
Mais Non. ^^
car actuellement l'auteur de combofix règle un bug qui peut empêcher la machine de rebooter correctement. utiliser une version ancienne peut nuire au système ;)
La suite: https://forums.commentcamarche.net/forum/affich-15601229-trojan-win32-alueron-e-j-rtk-infection-s#20
Mdr ...
Mais Non. ^^
car actuellement l'auteur de combofix règle un bug qui peut empêcher la machine de rebooter correctement. utiliser une version ancienne peut nuire au système ;)
La suite: https://forums.commentcamarche.net/forum/affich-15601229-trojan-win32-alueron-e-j-rtk-infection-s#20
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
15 déc. 2009 à 20:16
15 déc. 2009 à 20:16
;)
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
16 déc. 2009 à 18:55
16 déc. 2009 à 18:55
Re,
Si vous êtes sous Vista Désactivez l'UAC
Télécharge OTM (Old Timer) sur ton bureau:
▶ Sous XP: Double-clique sur OTM.exe afin de le lancer.
* Sous Vista: fais un clic droit sur OTM et choisis "exécuter en tant qu'administrateur"
▶ Copie (Ctrl+C) le texte suivant ci-dessous :
:Files
C:\Users\Moonz\AppData\Local\csLmB8el
C:\Users\Moonz\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
C:\Program Files\Cirle Developement
C:\ProgramData\{755AC846-7372-4AC8-8550-C52491DAA8BD}
C:\ProgramData\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
:Commands
[emptytemp]
[reboot]
▶ Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
▶ Clique maintenant sur le bouton MoveIt! puis ferme OTM.
Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. => Accepte en cliquant sur YES.
▶ Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
* Note: Le nom du rapport correspond au moment de sa création : date_heure.log
=====
fais usbfix quand même , même si tu n'as pas de clés.
+
Si vous êtes sous Vista Désactivez l'UAC
Télécharge OTM (Old Timer) sur ton bureau:
▶ Sous XP: Double-clique sur OTM.exe afin de le lancer.
* Sous Vista: fais un clic droit sur OTM et choisis "exécuter en tant qu'administrateur"
▶ Copie (Ctrl+C) le texte suivant ci-dessous :
:Files
C:\Users\Moonz\AppData\Local\csLmB8el
C:\Users\Moonz\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
C:\Program Files\Cirle Developement
C:\ProgramData\{755AC846-7372-4AC8-8550-C52491DAA8BD}
C:\ProgramData\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
:Commands
[emptytemp]
[reboot]
▶ Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
▶ Clique maintenant sur le bouton MoveIt! puis ferme OTM.
Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. => Accepte en cliquant sur YES.
▶ Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
* Note: Le nom du rapport correspond au moment de sa création : date_heure.log
=====
fais usbfix quand même , même si tu n'as pas de clés.
+
28 déc. 2009 à 21:09
Rapport SEAF :
1. ========================= SEAF 1.0.0.6 - C_XX | 21:00:34,71
2.
3. Valeur(s) recherchée(s):
4.
5. beep.sys
6.
7.
8. ========================= Fichier(s)/Dossier(s):
9.
10. "C:\Windows\winsxs\x86_microsoft-windows-beepsys_31bf3856ad364e35_6.0.6000.16386_none_c1e9df570ab23787\beep.sys"
11. MD5: ac3dd1708b22761ebd7cbe14dcc3b5d7 | --a------ | 02/11/2006 09:51
12.
13. =========================
14.
15. "C:\Windows\winsxs\x86_microsoft-windows-beepsys_31bf3856ad364e35_6.0.6001.18000_none_c420a153079d485b\beep.sys"
16. MD5: 67e506b75bd5326a3ec7b70bd014dfb6 | --a------ | 18/01/2008 20:49
17.
18. =========================
19.
20. (!) --- 2 ligne(s) contenant la/les valeur(s) recherchée(s).
21. "C:\Qoobox\SnapShot@2009-12-28_17.47.55.dat"
22. MD5: bb9d4e14507e283121a46a2f0b254015 | --a------ | 28/12/2009 18:49
23.
24. =========================
25.
26.
27. ========================= Registre:
28.
29.
30.
31. [HKEY_LOCAL_MACHINE\COMPONENTS\DerivedData\Components\x86_microsoft-windows-beepsys_31bf3856ad364e35_6.0.6000.16386_none_c1e9df570ab23787]
32. "f!beep.sys"="b"
33.
34. [HKEY_LOCAL_MACHINE\COMPONENTS\DerivedData\Components\x86_microsoft-windows-beepsys_31bf3856ad364e35_6.0.6001.18000_none_c420a153079d485b]
35. "f!beep.sys"="b"
36.
37. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\x86_microsoft-windows-beepsys_31bf3856ad364e35_6.0.6000.16386_none_c1e9df570ab23787]
38. "f!beep.sys"="b"
39.
40. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\x86_microsoft-windows-beepsys_31bf3856ad364e35_6.0.6001.18000_none_c420a153079d485b]
41. "f!beep.sys"="b"
42.
43.
44. ========================= E.O.F | 21:05:47,96
J'ai une question Fix200, est ce dangereux pour la sécurité et la confidentialité ? Mot de passe et tout ça ? je veux dire, aucun risque que mes données personnelles ne soit dévoilée ou "volée" en quelques sorte ? C'est en partie pour ça que je flippe =S
Je te remercie encore une fois, car tu passe du temps sur mon cas, et j'apprécie énormément =)