Bonjour, en demmarant mon ordinateur je suis tombé sur une alerte "windows security alert qui est de toute evidence un virus j'ai un rond rouge avec croix blanche et le logo du centre de securité windows dans la barre des taches il me prévient d'un danger imminent pour mon ordi, en anglais et veut me faire telecharger "malware defense" si quelqu'un veut bien m'aider a tuer cette saloperie, merci d'avance. Cordialement.

Virus faux centre de securité

Réponse 1 / 7

Ced_King Messages postés 3519 Date d'inscription lundi 2 mars 2009 Statut Contributeur Dernière intervention 10 octobre 2016 572
26 déc. 2009 à 16:48

•Télécharge OTM (OldTimer) sur ton Bureau.
•Double Clique sur OTM.exe
•Copie (Ctrl+C) le texte suivant ci-dessous :

:processes 
explorer.exe 

:files
C:\WINDOWS\system32\krl32mainweq.dll 
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\wscsvc32.exe
C:\Documents and Settings\All Users\Application Data\sysReserve.ini 

:commands 
[purity] 
[emptytemp] 
[reboot]

•Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
•Clique maintenant sur le bouton MoveIt! puis ferme OTM.

---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

•Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
---> Le nom du rapport correspond au moment de sa création : date_heure.log

guillom49
26 déc. 2009 à 17:22

OK c'est fait merci beaucoup c'est la 1ere fois que j'ai un virus si coriace une partie du probleme semble resolu mais antivir et malware bytes ne veulent toujours pas demarrer; voici le rapport de OTM:

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
LoadLibrary failed for C:\WINDOWS\system32\krl32mainweq.dll
C:\WINDOWS\system32\krl32mainweq.dll moved successfully.
File/Folder C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\wscsvc32.exe not found.
C:\Documents and Settings\All Users\Application Data\sysReserve.ini moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 13198 bytes
->Temporary Internet Files folder emptied: 249350 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 65748 bytes
->Temporary Internet Files folder emptied: 16786 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Propriétaire
->Temp folder emptied: 11540 bytes
->Temporary Internet Files folder emptied: 20121646 bytes
->Java cache emptied: 0 bytes
->Apple Safari cache emptied: 83984 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 39097 bytes
%systemroot%\System32 .tmp files removed: 28592640 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 36109658 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 112094 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 81,00 mb

OTM by OldTimer - Version 3.1.4.0 log created on 12262009_171600

Files moved on Reboot...

Registry entries deleted on Reboot...

Réponse 2 / 7

Ced_King Messages postés 3519 Date d'inscription lundi 2 mars 2009 Statut Contributeur Dernière intervention 10 octobre 2016 572
26 déc. 2009 à 16:09

Salut,

Telecharges RSIT " Random's System Information Tool " sur ton bureau : http://images.malwareremoval.com/random/RSIT.exe

- Ferme toutes les applications en cours et double clic sur RSIT.exe
- Selectionne " Continue " à l'ecran >> RSIT va analyser le pc et verifier si l'outil hijackthis ( version à jour) est present sur le pc, si ce n'est pas le cas, RSIT le telechargera >> accepte la license
- Une fois l'analyse terminée, 2 rapports.txt s'ouvrent, log.txt à l'écran et info.txt dans la barre des taches
- Poste le contenu des 2 rapports

guillom49
26 déc. 2009 à 16:13

c'est fait, merci de ton aide voici les rapports:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Propriétaire at 2009-12-26 16:10:35
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 49 GB (45%) free of 111 GB
Total RAM: 511 MB (56% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:10:41, on 26/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Ares\Ares.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\wscsvc32.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Documents and Settings\Propriétaire\Bureau\RSIT.exe
C:\Program Files\trend micro\Propriétaire.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr10.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/...
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Réponse 3 / 7

guillom49
26 déc. 2009 à 16:20

l'enflure jusque la il voulait que je telecharge un truc maintenant une installation se lance toute seule je dois aller stopper le processus a chaque fois mais je croi qu'il a réussi a s'installer.

Réponse 4 / 7

Ced_King Messages postés 3519 Date d'inscription lundi 2 mars 2009 Statut Contributeur Dernière intervention 10 octobre 2016 572
26 déc. 2009 à 16:25

Ok, il s'agit d'un rogue...

- Télécharge Malwarebytes' Anti-Malware :
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

- Installe le > double-clic sur Mbam-setup.exe, à la fin de l'installation, il se mettra automatiquement à jour
- Une fois installé, fermes toutes les applications en cours et lances Malwarebytes
- Exécute un examen rapide du pc ( tu n'auras pas accés à internet pendant l'analyse)
- A la fin du scan clic sur " Afficher les resultats ", si Malwarebytes a trouvé des infections >> clic sur " Supprimer la selection "
- Si il a besoin de redémarrer le pc pour finir la désinfection, acceptes
- Un rapport s'etablira, postes son contenu.

.....................

guillom49
26 déc. 2009 à 16:29

j'ai deja malwarebytes j'ai essayé de le demarrer plusieurs fois il veut rien savoir tout comme antivir qui semble ne plus exister sur mon pc.

Réponse 5 / 7

guillom49
26 déc. 2009 à 16:35

Maintenant j'ai des raccourcis pour des sites porno qui apparaissent sur le bureau avec des photos!!!!!!!!!!! je crois que je vais aller chercher un fusil. C'est quoi ce virus ?

Réponse 6 / 7

Ced_King Messages postés 3519 Date d'inscription lundi 2 mars 2009 Statut Contributeur Dernière intervention 10 octobre 2016 572
26 déc. 2009 à 17:38

Surement un rootkit qui t'empêche de les lancer, fais ce qui suit :

Tu vas télécharger Combofix en prenant soin de le renommer au téléchargement ( c'est important)

Regarde là en cas de difficulté : renommer Combofix au téléchargement

* Fais un clic droit ici
* Choisis : Enregistrer la cible du lien sous
* Choisis le Bureau comme destination.
* Dans le champ "Nom du fichier", renomme ComboFix.exe en CCM.exe par exemple, puis enregistrez le.
* Déconnecte-toi d'Internet et ferme toutes les applications et programmes.
* Désactive tes défenses ( antivirus, antispyware...)
* Double-clique sur CCM.exe pour lancer le fix
* Accepte le message d'avertissement et accepte l'installation de la Console de récupération.
* Le rapport sera créé sous la racine : C:\Combofix.txt , poste le stp

Sers-toi de ce tutoriel pour utiliser Combofix :
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

....

guillom49
26 déc. 2009 à 18:42

voici le rapport de combo fix qui a été un peu long merci de votre aide si je dois faire d'autre manips je suis preneur mais a priori tout est revenu a la normale merci encore .

ComboFix 09-12-25.05 - Propriétaire 26/12/2009 17:56:20.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.170 [GMT 1:00]
Lancé depuis: c:\documents and settings\Propriétaire\Bureau\CCM.EXE
* Un antivirus résident est actif

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\system32\drivers\H8SRTkhmnkdskal.sys
c:\windows\system32\H8SRThdydixduje.dll
c:\windows\system32\H8SRTltpqltvboy.dll
c:\windows\system32\H8SRTuwplqlpgrm.dat
c:\windows\system32\logs
c:\windows\system32\reboot.txt
c:\windows\system32\srcr.dat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_H8SRTd.sys
-------\Legacy_H8SRTd.sys

((((((((((((((((((((((((((((( Fichiers créés du 2009-11-26 au 2009-12-26 ))))))))))))))))))))))))))))))))))))
.

2009-12-26 16:16 . 2009-12-26 16:16 -------- d-----w- C:\_OTM
2009-12-26 15:18 . 2009-12-26 16:59 -------- d-----w- c:\program files\Malware Defense
2009-12-26 15:10 . 2009-12-26 15:10 -------- d-----w- C:\rsit
2009-12-26 14:36 . 2009-11-12 09:11 27192 ----a-w- c:\windows\system32\drivers\rspSanity32.sys
2009-12-26 14:36 . 2009-12-26 14:36 -------- d-----w- c:\program files\SanityCheck
2009-11-27 11:59 . 2009-11-27 11:59 -------- d-----w- c:\program files\CFWebAdvancedU

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-26 17:12 . 2009-05-24 05:23 31252436 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-12-26 17:12 . 2009-05-24 05:23 2677817376 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-12-26 15:10 . 2009-10-31 22:05 -------- d-----w- c:\program files\trend micro
2009-12-25 16:40 . 2008-05-03 15:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2009-12-24 15:01 . 2009-03-07 02:03 -------- d-----w- c:\program files\Free Easy Burner
2009-12-16 18:20 . 2009-04-29 19:40 -------- d-----w- c:\program files\Astonsoft
2009-12-12 15:16 . 2009-11-08 19:10 -------- d-----w- c:\program files\eMule
2009-12-10 20:07 . 2009-07-20 16:15 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-10 16:54 . 2004-01-01 15:44 546376 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-10 16:54 . 2004-01-01 15:44 100668 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-25 17:21 . 2009-11-25 17:21 -------- d-----w- c:\program files\Microsoft
2009-11-18 16:51 . 2009-11-11 06:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-11-12 04:37 . 2009-04-26 23:18 -------- d-----w- c:\program files\OpenOffice.org 3
2009-11-12 03:52 . 2004-07-26 11:37 -------- d-----w- c:\program files\DivX
2009-11-12 03:48 . 2009-11-12 03:48 -------- d-----w- c:\program files\Fichiers communs\DivX Shared
2009-11-09 03:46 . 2005-12-22 18:58 -------- d-----w- c:\program files\Azureus
2009-11-08 21:54 . 2004-07-26 11:37 -------- d-----w- c:\program files\Google
2009-11-01 11:01 . 2009-03-06 19:39 -------- d-----w- c:\program files\Fichiers communs\LogiShrd
2009-11-01 11:01 . 2009-06-28 13:20 -------- d-----w- c:\program files\Labtec
2009-11-01 00:35 . 2004-01-01 07:08 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2009-11-01 00:35 . 2004-01-01 07:08 -------- d-----w- c:\program files\Symantec
2009-10-31 16:38 . 2009-05-24 17:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-10-29 07:42 . 2006-06-23 11:28 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2008-05-08 11:21 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2008-05-08 11:20 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2008-05-08 11:20 265728 ------w- c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2006-05-14 09:24 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-01-03 03:34 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2004-01-03 03:34 150528 ----a-w- c:\windows\system32\rastls.dll
2007-08-06 05:53 . 2008-05-03 00:18 0 -csha-w- c:\windows\SMINST\HPCD.SYS
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2003-12-05 3022848]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-03-30 198160]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 11:08 209153 ----a-w- c:\program files\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
2007-03-06 16:48 488984 ----a-w- c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2007-03-06 16:58 1060376 ----a-w- c:\program files\Labtec\WebCam10\WebCam10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"StarWindServiceAE"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\a-squared Free\\a2service.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"41747:TCP"= 41747:TCP:arestcp
"41747:UDP"= 41747:UDP:aresudp
"6346:TCP"= 6346:TCP:shaeraza
"6346:UDP"= 6346:UDP:shaeraza

R0 PzWDM;PzWDM;c:\windows\system32\drivers\PzWDM.sys [25/03/2009 18:33 15172]
R1 is-UNEEHdrv;is-UNEEHdrv;c:\windows\system32\drivers\61292599.sys [24/05/2009 06:23 148496]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [20/07/2009 21:20 108289]
S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [08/11/2009 22:44 135664]
S3 ATE_PROCMON;ATE_PROCMON;\??\c:\program files\Anti Trojan Elite\ATEPMon.sys --> c:\program files\Anti Trojan Elite\ATEPMon.sys [?]
S3 rspSanity;rspSanity;c:\windows\system32\drivers\rspSanity32.sys [26/12/2009 15:36 27192]
S3 uti4nduw;AVZ Kernel Driver;\??\c:\windows\system32\Drivers\uti4nduw.sys --> c:\windows\system32\Drivers\uti4nduw.sys [?]
S4 a2free;a-squared Free Service;c:\program files\a-squared Free\a2service.exe [27/04/2009 05:54 425080]
.
------- Examen supplémentaire -------
.
uDefault_Search_URL = hxxp://www.cherche.us/keyword/%s
uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = about:blank
mStart Page = about:blank
mSearch Bar = hxxp://srch-qfr10.hpwis.com/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.cherche.us/keyword/%s
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-HijackThis - c:\documents and settings\Propriétaire\Mes documents\HijackThis.exe
AddRemove-Titan Poker - c:\poker\Titan Poker\_SetupPoker_e94e9d[1].exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-26 18:15
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"C040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3724)
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\progra~1\SPYBOT~1\SDHelper.dll
c:\program files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\System32\nvsvc32.exe
c:\program files\internet explorer\iexplore.exe
c:\program files\internet explorer\iexplore.exe
c:\windows\TEMP\7ZipSfx.000\GoogleEarth.exe
c:\windows\system32\MSIEXEC.EXE
c:\windows\system32\msiexec.exe
c:\windows\system32\MsiExec.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Heure de fin: 2009-12-26 18:38:52 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-26 17:38

Avant-CF: 52 052 824 064 octets libres
Après-CF: 51 919 716 352 octets libres

- - End Of File - - 134C03653FD290BF6F8EDED15DC0E459

Réponse 7 / 7

Ced_King Messages postés 3519 Date d'inscription lundi 2 mars 2009 Statut Contributeur Dernière intervention 10 octobre 2016 572
26 déc. 2009 à 21:37

Ok, trés bien il s'agissait bien de Rootkit

Passe Malwarebytes comme demandé ici et poste le rapport généré stp.

.

Virus faux centre de securité

7 réponses

Discussions similaires