Virus impossible à supprimer - Page 3
Résolu
Précédent
- 1
- 2
- 3
-
Vu
==> MBAM -
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3895
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
23/03/2010 11:09:10
mbam-log-2010-03-23 (11-09-10).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 235319
Temps écoulé: 2 hour(s), 19 minute(s), 39 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yvibbbha8c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wek9emdhi9 (Trojan.Agent) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
D:\Da sims 2\Les Sims 2 La Bonne Affaire\Keygen\Keygen.exe (Trojan.Orsam) -> Quarantined and deleted successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully. -
attention aux cracks...ils sont piégés
tu as eu déjà bagle ainsi !!!
vides la quarantaine de mbam
comment va le pc ?
relances RSIT et postes le rapport log stp -
Le pc va bien, le problème c'est qu'il ram de plus en plus. Je ne sais pas si c'est à cause de tout ces virus ou alors de la place qu'il y a sur mon pc.
Voici le rapport :
Logfile of random's system information tool 1.06 (written by random/random)
Run by Propriétaire at 2010-03-23 11:33:32
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 3 GB (7%) free of 40 GB
Total RAM: 447 MB (23% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42:00, on 19/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\S3trayp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
C:\WINDOWS\system32\drivers\svchost.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
-
MD5: e4bdf223cd75478bf44567b4d5c2634d
First received: 2009.02.12 09:20:26 UTC
Date 2010.03.22 15:26:24 UTC [<1D]
Résultats 0/42
Permalink: analisis/6234155d6c02c67689744d21380b17db5fe395bc8622c71b046e40ca1767785a-1269271584 -
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié dans C:\
* Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
1)Redémarre ton ordinateur
2) Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
3)A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
4)Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
5)Choisis ton compte.
Déroule la liste des instructions ci-dessous :
* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
* Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
Tuto pour t'aider
https://www.tayo.fr/sdfix-tutoriel.php
-
Le logiciel SDFix ne fonctionne pas. Après avoir redémarrer mon pc en mode sans échec puis cliqué sur le logiciel, rien ne se passe le logiciel ne s'ouvre pas.
-
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
? Télécharge : Gmer (by Przemyslaw Gmerek)
http://www.gmer.net/
? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
-
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-23 15:33:07
Windows 5.1.2600 Service Pack 3
Running: i9izlem3.exe; Driver: C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\fwqiqfod.sys
---- System - GMER 1.0.15 ----
SSDT F7BC31D6 ZwCreateKey
SSDT F7BC31CC ZwCreateThread
SSDT F7BC31DB ZwDeleteKey
SSDT F7BC31E5 ZwDeleteValueKey
SSDT F7BC31EA ZwLoadKey
SSDT F7BC31B8 ZwOpenProcess
SSDT F7BC31BD ZwOpenThread
SSDT F7BC31F4 ZwReplaceKey
SSDT F7BC31EF ZwRestoreKey
SSDT F7BC31E0 ZwSetValueKey
SSDT F7BC31C7 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 24EC 80501D24 4 Bytes JMP 3AF7BC31
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] kernel32.dll!LoadResource 7C80A055 7 Bytes JMP 28001E20 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] kernel32.dll!FindResourceExW 7C80AD28 7 Bytes JMP 28001C60 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] kernel32.dll!FindResourceW 7C80BC6E 7 Bytes JMP 28001BE0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] kernel32.dll!SizeofResource 7C80BD09 7 Bytes JMP 28001EE0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] kernel32.dll!FindResourceA 7C80BF29 7 Bytes JMP 28001CF0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] kernel32.dll!LockResource 7C80CD37 5 Bytes JMP 28001F50 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] kernel32.dll!CreateEventA 7C8308B5 5 Bytes JMP 28001840 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] kernel32.dll!FindResourceExA 7C835FA8 7 Bytes JMP 28001D80 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] ADVAPI32.dll!CryptDeriveKey 77DB9FFD 7 Bytes JMP 28001000 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 28001060 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] USER32.dll!GetWindowLongW 7E3988A6 7 Bytes JMP 28006A70 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] USER32.dll!PeekMessageW 7E39929B 5 Bytes JMP 28004630 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] USER32.dll!SetWindowPlacement 7E39DE46 5 Bytes JMP 28005E10 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] USER32.dll!CreateDialogParamW 7E39EA3B 5 Bytes JMP 28006090 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] USER32.dll!LoadImageW 7E3A7B97 5 Bytes JMP 280066E0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] USER32.dll!CreateWindowExW 7E3AD0A3 5 Bytes JMP 28003C60 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] USER32.dll!SetWindowRgn 7E3AE528 7 Bytes JMP 28005F50 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] USER32.dll!LoadIconW 7E3AE8BC 5 Bytes JMP 280068D0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 28006280 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] USER32.dll!TrackPopupMenuEx 7E3ECF62 5 Bytes JMP 28004F10 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] WS2_32.dll!closesocket 719F3E2B 5 Bytes JMP 2800B8C0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] WS2_32.dll!send 719F4C27 5 Bytes JMP 2800B4A0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] WS2_32.dll!WSARecv 719F4CB5 5 Bytes JMP 2800B280 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] WS2_32.dll!recv 719F676F 5 Bytes JMP 2800B0E0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] WS2_32.dll!WSASend 719F68FA 5 Bytes JMP 2800B680 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] SHELL32.dll!Shell_NotifyIconW 7CA3A5BF 5 Bytes JMP 280033B0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] ole32.dll!CoInitializeEx 774BEF7B 5 Bytes JMP 28002260 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 28002600 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] ole32.dll!CoRegisterClassObject 774D7E90 5 Bytes JMP 28002360 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] WININET.dll!InternetReadFile 404B654B 5 Bytes JMP 2800A090 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] WININET.dll!InternetCloseHandle 404B9088 5 Bytes JMP 2800A240 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] WININET.dll!HttpOpenRequestA 404BD508 5 Bytes JMP 28009F00 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[656] WININET.dll!HttpSendRequestA 404CEE89 5 Bytes JMP 2800A170 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Mozilla Firefox\firefox.exe[2324] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
---- Devices - GMER 1.0.15 ----
Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort2 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-12 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-7 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\USBSTOR \Device\00000080 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\USBSTOR \Device\00000083 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
---- EOF - GMER 1.0.15 ---- -
pas de présence de lignes rouges j'imagine ?
voyons voir un peu plus loin
Télécharge ZHPDiag ( de? Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint :? http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message
-
http://www.cijoint.fr/cjlink.php?file=cj201003/cijmjhRnvh.txt
-
ok quelques bricoles encore et les traces de rootkits..
Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista ) , fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".
ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ces lignes
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61}
O42 - Logiciel: RON Tool Mxlivemedia
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
-
ZHPFix v1.12.3079 by Nicolas Coolman - Rapport de suppression du 23/03/2010 19:17:18
Fichier d'export Registre : C:\ZHPExportRegistry-23-03-2010-19-17-18.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Processus mémoire :
(Néant)
Module mémoire :
(Néant)
Clé du Registre :
O42 - Logiciel: RON Tool Mxlivemedia => Clé supprimée avec succès
Valeur du Registre :
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} => Valeur supprimée avec succès
Elément de données du Registre :
(Néant)
Dossier :
(Néant)
Fichier :
(Néant)
Logiciel :
O42 - Logiciel: RON Tool Mxlivemedia => Logiciel supprimé avec succès
Script Registre :
(Néant)
Autre :
http://www.cijoint.fr/cjlink.php?file=cj201003/cijmjhRnvh.txt => Format Non supporté
Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 1
Autre : 1
End of the scan -
enfin pour vérifier l'absence de rootkit TDSS
* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau
http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)
-
19:42:57:625 1596 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
19:42:57:625 1596 ================================================================================
19:42:57:625 1596 SystemInfo:
19:42:57:625 1596 OS Version: 5.1.2600 ServicePack: 3.0
19:42:57:625 1596 Product type: Workstation
19:42:57:625 1596 ComputerName: REQUIER-1C9D4F7
19:42:57:625 1596 UserName: Propriétaire
19:42:57:625 1596 Windows directory: C:\WINDOWS
19:42:57:625 1596 Processor architecture: Intel x86
19:42:57:625 1596 Number of processors: 1
19:42:57:625 1596 Page size: 0x1000
19:42:57:625 1596 Boot type: Normal boot
19:42:57:625 1596 ================================================================================
19:42:57:703 1596 UnloadDriverW: NtUnloadDriver error 2
19:42:57:703 1596 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
19:42:57:890 1596 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
19:42:57:890 1596 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
19:42:57:890 1596 wfopen_ex: Trying to KLMD file open
19:42:57:890 1596 wfopen_ex: File opened ok (Flags 2)
19:42:57:890 1596 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
19:42:57:890 1596 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
19:42:57:890 1596 wfopen_ex: Trying to KLMD file open
19:42:57:890 1596 wfopen_ex: File opened ok (Flags 2)
19:42:57:906 1596 Initialize success
19:42:57:906 1596
19:42:57:906 1596 Scanning Services ...
19:42:58:359 1596 Raw services enum returned 348 services
19:42:58:375 1596
19:42:58:375 1596 Scanning Kernel memory ...
19:42:58:375 1596 Devices to scan: 3
19:42:58:375 1596
19:42:58:375 1596 Driver Name: Disk
19:42:58:375 1596 IRP_MJ_CREATE : F760CBB0
19:42:58:375 1596 IRP_MJ_CREATE_NAMED_PIPE : 804F355A
19:42:58:375 1596 IRP_MJ_CLOSE : F760CBB0
19:42:58:375 1596 IRP_MJ_READ : F7606D1F
19:42:58:375 1596 IRP_MJ_WRITE : F7606D1F
19:42:58:375 1596 IRP_MJ_QUERY_INFORMATION : 804F355A
19:42:58:375 1596 IRP_MJ_SET_INFORMATION : 804F355A
19:42:58:375 1596 IRP_MJ_QUERY_EA : 804F355A
19:42:58:375 1596 IRP_MJ_SET_EA : 804F355A
19:42:58:375 1596 IRP_MJ_FLUSH_BUFFERS : F76072E2
19:42:58:375 1596 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F355A
19:42:58:375 1596 IRP_MJ_SET_VOLUME_INFORMATION : 804F355A
19:42:58:375 1596 IRP_MJ_DIRECTORY_CONTROL : 804F355A
19:42:58:375 1596 IRP_MJ_FILE_SYSTEM_CONTROL : 804F355A
19:42:58:375 1596 IRP_MJ_DEVICE_CONTROL : F76073BB
19:42:58:375 1596 IRP_MJ_INTERNAL_DEVICE_CONTROL : F760AF28
19:42:58:375 1596 IRP_MJ_SHUTDOWN : F76072E2
19:42:58:375 1596 IRP_MJ_LOCK_CONTROL : 804F355A
19:42:58:375 1596 IRP_MJ_CLEANUP : 804F355A
19:42:58:375 1596 IRP_MJ_CREATE_MAILSLOT : 804F355A
19:42:58:375 1596 IRP_MJ_QUERY_SECURITY : 804F355A
19:42:58:375 1596 IRP_MJ_SET_SECURITY : 804F355A
19:42:58:375 1596 IRP_MJ_POWER : F7608C82
19:42:58:375 1596 IRP_MJ_SYSTEM_CONTROL : F760D99E
19:42:58:375 1596 IRP_MJ_DEVICE_CHANGE : 804F355A
19:42:58:375 1596 IRP_MJ_QUERY_QUOTA : 804F355A
19:42:58:375 1596 IRP_MJ_SET_QUOTA : 804F355A
19:42:58:390 1596 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
19:42:58:390 1596
19:42:58:390 1596 Driver Name: Disk
19:42:58:390 1596 IRP_MJ_CREATE : F760CBB0
19:42:58:390 1596 IRP_MJ_CREATE_NAMED_PIPE : 804F355A
19:42:58:390 1596 IRP_MJ_CLOSE : F760CBB0
19:42:58:390 1596 IRP_MJ_READ : F7606D1F
19:42:58:390 1596 IRP_MJ_WRITE : F7606D1F
19:42:58:390 1596 IRP_MJ_QUERY_INFORMATION : 804F355A
19:42:58:390 1596 IRP_MJ_SET_INFORMATION : 804F355A
19:42:58:390 1596 IRP_MJ_QUERY_EA : 804F355A
19:42:58:390 1596 IRP_MJ_SET_EA : 804F355A
19:42:58:390 1596 IRP_MJ_FLUSH_BUFFERS : F76072E2
19:42:58:390 1596 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F355A
19:42:58:390 1596 IRP_MJ_SET_VOLUME_INFORMATION : 804F355A
19:42:58:390 1596 IRP_MJ_DIRECTORY_CONTROL : 804F355A
19:42:58:390 1596 IRP_MJ_FILE_SYSTEM_CONTROL : 804F355A
19:42:58:406 1596 IRP_MJ_DEVICE_CONTROL : F76073BB
19:42:58:406 1596 IRP_MJ_INTERNAL_DEVICE_CONTROL : F760AF28
19:42:58:406 1596 IRP_MJ_SHUTDOWN : F76072E2
19:42:58:406 1596 IRP_MJ_LOCK_CONTROL : 804F355A
19:42:58:406 1596 IRP_MJ_CLEANUP : 804F355A
19:42:58:406 1596 IRP_MJ_CREATE_MAILSLOT : 804F355A
19:42:58:406 1596 IRP_MJ_QUERY_SECURITY : 804F355A
19:42:58:406 1596 IRP_MJ_SET_SECURITY : 804F355A
19:42:58:406 1596 IRP_MJ_POWER : F7608C82
19:42:58:406 1596 IRP_MJ_SYSTEM_CONTROL : F760D99E
19:42:58:406 1596 IRP_MJ_DEVICE_CHANGE : 804F355A
19:42:58:406 1596 IRP_MJ_QUERY_QUOTA : 804F355A
19:42:58:406 1596 IRP_MJ_SET_QUOTA : 804F355A
19:42:58:406 1596 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
19:42:58:406 1596
19:42:58:406 1596 Driver Name: atapi
19:42:58:406 1596 IRP_MJ_CREATE : F74486F2
19:42:58:406 1596 IRP_MJ_CREATE_NAMED_PIPE : 804F355A
19:42:58:406 1596 IRP_MJ_CLOSE : F74486F2
19:42:58:406 1596 IRP_MJ_READ : 804F355A
19:42:58:406 1596 IRP_MJ_WRITE : 804F355A
19:42:58:406 1596 IRP_MJ_QUERY_INFORMATION : 804F355A
19:42:58:406 1596 IRP_MJ_SET_INFORMATION : 804F355A
19:42:58:406 1596 IRP_MJ_QUERY_EA : 804F355A
19:42:58:406 1596 IRP_MJ_SET_EA : 804F355A
19:42:58:406 1596 IRP_MJ_FLUSH_BUFFERS : 804F355A
19:42:58:406 1596 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F355A
19:42:58:406 1596 IRP_MJ_SET_VOLUME_INFORMATION : 804F355A
19:42:58:406 1596 IRP_MJ_DIRECTORY_CONTROL : 804F355A
19:42:58:406 1596 IRP_MJ_FILE_SYSTEM_CONTROL : 804F355A
19:42:58:406 1596 IRP_MJ_DEVICE_CONTROL : F7448712
19:42:58:406 1596 IRP_MJ_INTERNAL_DEVICE_CONTROL : F75D78B4
19:42:58:406 1596 IRP_MJ_SHUTDOWN : 804F355A
19:42:58:406 1596 IRP_MJ_LOCK_CONTROL : 804F355A
19:42:58:406 1596 IRP_MJ_CLEANUP : 804F355A
19:42:58:406 1596 IRP_MJ_CREATE_MAILSLOT : 804F355A
19:42:58:406 1596 IRP_MJ_QUERY_SECURITY : 804F355A
19:42:58:406 1596 IRP_MJ_SET_SECURITY : 804F355A
19:42:58:406 1596 IRP_MJ_POWER : F744873C
19:42:58:406 1596 IRP_MJ_SYSTEM_CONTROL : F744F336
19:42:58:406 1596 IRP_MJ_DEVICE_CHANGE : 804F355A
19:42:58:406 1596 IRP_MJ_QUERY_QUOTA : 804F355A
19:42:58:406 1596 IRP_MJ_SET_QUOTA : 804F355A
19:42:58:406 1596 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: 1
19:42:58:406 1596
19:42:58:406 1596 Completed
19:42:58:406 1596
19:42:58:406 1596 Results:
19:42:58:406 1596 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
19:42:58:406 1596 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
19:42:58:406 1596 File objects infected / cured / cured on reboot: 0 / 0 / 0
19:42:58:406 1596
19:42:58:406 1596 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
19:42:58:406 1596 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
19:42:58:406 1596 KLMD(ARK) unloaded successfully -
ok
au point de vue virus on a fait le tour....
redemarres le pc
relances ensuite RSIT et postes le rapport log
si le pc rame encore
il faudra voir de ce côté je pense
System drive C: has 3 GB (7%) free of 40 GB
Total RAM: 447 MB (23% free)
+
un scan ligne pour se donner une dernière assurance
Précédent
- 1
- 2
- 3
