Help: rvivnnzi.sys (TR/Rootkit.Gen)
ottilia
Messages postés
4
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour
mon ordi a été infecté samedi par Internet security 2010 que j'ai réussi à supprimer mais il reste un fichier sur les drivers de Windows/system32 que je n'arrive pas à enlever...
antivir et malwarebytes le détectent mais ils n'arrivent pas à le supprimer au démarrage, que faire?il me gène pas pour l'instant mais ...
merci de votre aide
détail du scan:Le fichier 'C:\WINDOWS\system32\drivers\rvivnnzi.sys'
contenait un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan].
Action(s) exécutée(s) :
Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004.
Impossible de trouver le fichier source.
Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bda537f.qua' !
mon ordi a été infecté samedi par Internet security 2010 que j'ai réussi à supprimer mais il reste un fichier sur les drivers de Windows/system32 que je n'arrive pas à enlever...
antivir et malwarebytes le détectent mais ils n'arrivent pas à le supprimer au démarrage, que faire?il me gène pas pour l'instant mais ...
merci de votre aide
détail du scan:Le fichier 'C:\WINDOWS\system32\drivers\rvivnnzi.sys'
contenait un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan].
Action(s) exécutée(s) :
Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004.
Impossible de trouver le fichier source.
Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bda537f.qua' !
4 réponses
bonjour
le rogue internet sécurity 2010 était accompagné d'un rootkit
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
le rogue internet sécurity 2010 était accompagné d'un rootkit
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
merci nathander
tout a l'air d'être résolu (apparence du bureau)
voici le rapport
ComboFix 10-02-08.09 - socrate 09/02/2010 17:49:48.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.511.236 [GMT 1:00]
Running from: c:\documents and settings\socrate\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\11478.exe
c:\windows\system32\15131.exe
c:\windows\system32\15724.exe
c:\windows\system32\18467.exe
c:\windows\system32\19169.exe
c:\windows\system32\26500.exe
c:\windows\system32\6334.exe
c:\windows\system32\drivers\rvivnnzi.sys
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_rvivnnzi
-------\Service_rvivnnzi
((((((((((((((((((((((((( Files Created from 2010-01-09 to 2010-02-09 )))))))))))))))))))))))))))))))
.
2010-02-09 12:08 . 2010-02-09 12:08 503808 ----a-w- c:\documents and settings\socrate\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-4f7a4cda-n\msvcp71.dll
2010-02-09 12:08 . 2010-02-09 12:08 499712 ----a-w- c:\documents and settings\socrate\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-4f7a4cda-n\jmc.dll
2010-02-09 12:08 . 2010-02-09 12:08 348160 ----a-w- c:\documents and settings\socrate\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-4f7a4cda-n\msvcr71.dll
2010-02-09 12:08 . 2010-02-09 12:08 61440 ----a-w- c:\documents and settings\socrate\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-5e69a5a0-n\decora-sse.dll
2010-02-09 12:08 . 2010-02-09 12:08 12800 ----a-w- c:\documents and settings\socrate\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-5e69a5a0-n\decora-d3d.dll
2010-02-05 13:25 . 2010-02-05 13:25 -------- d-----w- c:\documents and settings\socrate\Application Data\Malwarebytes
2010-02-05 13:25 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-05 13:25 . 2010-02-05 13:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-02-05 13:25 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-05 13:25 . 2010-02-05 13:25 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-24 22:51 . 2010-01-24 22:51 -------- d-----w- c:\program files\JRE
2010-01-24 22:42 . 2009-12-17 16:14 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-01-13 03:52 . 2009-11-21 15:51 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-09 12:08 . 2008-02-18 14:27 -------- d-----w- c:\program files\Common Files\Java
2010-02-09 12:07 . 2008-02-18 14:27 -------- d-----w- c:\program files\Java
2010-02-09 11:33 . 2009-10-18 17:09 -------- d-----w- c:\documents and settings\socrate\Application Data\vlc
2010-02-08 18:24 . 2009-02-11 08:28 1 ----a-w- c:\documents and settings\socrate\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-02-07 22:12 . 2009-06-08 09:51 -------- d-----w- c:\documents and settings\socrate\Application Data\dvdcss
2010-02-05 11:48 . 2008-02-21 13:29 -------- d-----w- c:\program files\Windows Media Connect 2
2010-02-05 11:42 . 2008-03-03 16:28 19256 ----a-w- c:\documents and settings\socrate\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-05 08:52 . 2010-02-05 08:52 16 ----a-w- c:\documents and settings\NetworkService\Application Data\sgcpom.dat
2010-01-24 22:51 . 2009-02-10 14:22 -------- d-----w- c:\program files\OpenOffice.org 3
2010-01-22 08:28 . 2008-06-20 17:03 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-05 10:00 . 2005-04-15 17:38 832512 ----a-w- c:\windows\system32\wininet.dll
2010-01-05 10:00 . 2004-08-04 00:56 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-01-05 10:00 . 2004-08-04 00:56 17408 ------w- c:\windows\system32\corpol.dll
2009-12-10 14:00 . 2009-05-17 14:49 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-21 15:51 . 2004-08-04 00:56 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2003-06-25 4800512]
"nwiz"="nwiz.exe" [2003-06-25 323584]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [17/05/2009 15:49 108289]
.
Contents of the 'Scheduled Tasks' folder
2010-02-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2010-02-09 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.lemonde.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
Trusted Zone: buy-internetsecurity10.com
Trusted Zone: buy-is2010.com
Trusted Zone: is-software-download.com
Trusted Zone: is-software-download25.com
Trusted Zone: is10-soft-download.com
Trusted Zone: buy-internetsecurity10.com
Trusted Zone: buy-is2010.com
FF - ProfilePath - c:\documents and settings\socrate\Application Data\Mozilla\Firefox\Profiles\pguk17hp.default\
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHANS REMOVED - - - -
Notify-avgwlntf - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-09 17:57
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'explorer.exe'(3720)
c:\windows\system32\WININET.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Completion time: 2010-02-09 18:03:44 - machine was rebooted
ComboFix-quarantined-files.txt 2010-02-09 17:03
Pre-Run: 34 806 423 552 bytes free
Post-Run: 39 674 662 912 bytes free
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - 102F9AAF9DABFD14BF1554B1CCF947EC
tout a l'air d'être résolu (apparence du bureau)
voici le rapport
ComboFix 10-02-08.09 - socrate 09/02/2010 17:49:48.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.511.236 [GMT 1:00]
Running from: c:\documents and settings\socrate\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\11478.exe
c:\windows\system32\15131.exe
c:\windows\system32\15724.exe
c:\windows\system32\18467.exe
c:\windows\system32\19169.exe
c:\windows\system32\26500.exe
c:\windows\system32\6334.exe
c:\windows\system32\drivers\rvivnnzi.sys
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_rvivnnzi
-------\Service_rvivnnzi
((((((((((((((((((((((((( Files Created from 2010-01-09 to 2010-02-09 )))))))))))))))))))))))))))))))
.
2010-02-09 12:08 . 2010-02-09 12:08 503808 ----a-w- c:\documents and settings\socrate\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-4f7a4cda-n\msvcp71.dll
2010-02-09 12:08 . 2010-02-09 12:08 499712 ----a-w- c:\documents and settings\socrate\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-4f7a4cda-n\jmc.dll
2010-02-09 12:08 . 2010-02-09 12:08 348160 ----a-w- c:\documents and settings\socrate\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-4f7a4cda-n\msvcr71.dll
2010-02-09 12:08 . 2010-02-09 12:08 61440 ----a-w- c:\documents and settings\socrate\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-5e69a5a0-n\decora-sse.dll
2010-02-09 12:08 . 2010-02-09 12:08 12800 ----a-w- c:\documents and settings\socrate\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-5e69a5a0-n\decora-d3d.dll
2010-02-05 13:25 . 2010-02-05 13:25 -------- d-----w- c:\documents and settings\socrate\Application Data\Malwarebytes
2010-02-05 13:25 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-05 13:25 . 2010-02-05 13:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-02-05 13:25 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-05 13:25 . 2010-02-05 13:25 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-24 22:51 . 2010-01-24 22:51 -------- d-----w- c:\program files\JRE
2010-01-24 22:42 . 2009-12-17 16:14 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-01-13 03:52 . 2009-11-21 15:51 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-09 12:08 . 2008-02-18 14:27 -------- d-----w- c:\program files\Common Files\Java
2010-02-09 12:07 . 2008-02-18 14:27 -------- d-----w- c:\program files\Java
2010-02-09 11:33 . 2009-10-18 17:09 -------- d-----w- c:\documents and settings\socrate\Application Data\vlc
2010-02-08 18:24 . 2009-02-11 08:28 1 ----a-w- c:\documents and settings\socrate\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-02-07 22:12 . 2009-06-08 09:51 -------- d-----w- c:\documents and settings\socrate\Application Data\dvdcss
2010-02-05 11:48 . 2008-02-21 13:29 -------- d-----w- c:\program files\Windows Media Connect 2
2010-02-05 11:42 . 2008-03-03 16:28 19256 ----a-w- c:\documents and settings\socrate\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-05 08:52 . 2010-02-05 08:52 16 ----a-w- c:\documents and settings\NetworkService\Application Data\sgcpom.dat
2010-01-24 22:51 . 2009-02-10 14:22 -------- d-----w- c:\program files\OpenOffice.org 3
2010-01-22 08:28 . 2008-06-20 17:03 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-05 10:00 . 2005-04-15 17:38 832512 ----a-w- c:\windows\system32\wininet.dll
2010-01-05 10:00 . 2004-08-04 00:56 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-01-05 10:00 . 2004-08-04 00:56 17408 ------w- c:\windows\system32\corpol.dll
2009-12-10 14:00 . 2009-05-17 14:49 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-21 15:51 . 2004-08-04 00:56 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2003-06-25 4800512]
"nwiz"="nwiz.exe" [2003-06-25 323584]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [17/05/2009 15:49 108289]
.
Contents of the 'Scheduled Tasks' folder
2010-02-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2010-02-09 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.lemonde.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
Trusted Zone: buy-internetsecurity10.com
Trusted Zone: buy-is2010.com
Trusted Zone: is-software-download.com
Trusted Zone: is-software-download25.com
Trusted Zone: is10-soft-download.com
Trusted Zone: buy-internetsecurity10.com
Trusted Zone: buy-is2010.com
FF - ProfilePath - c:\documents and settings\socrate\Application Data\Mozilla\Firefox\Profiles\pguk17hp.default\
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHANS REMOVED - - - -
Notify-avgwlntf - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-09 17:57
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'explorer.exe'(3720)
c:\windows\system32\WININET.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Completion time: 2010-02-09 18:03:44 - machine was rebooted
ComboFix-quarantined-files.txt 2010-02-09 17:03
Pre-Run: 34 806 423 552 bytes free
Post-Run: 39 674 662 912 bytes free
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - 102F9AAF9DABFD14BF1554B1CCF947EC
pourtant le fichier rvivnnzi n'est plus là et malwarebyte n'a plus rien détecté...
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3713
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
09/02/2010 19:24:19
mbam-log-2010-02-09 (19-24-19).txt
Type de recherche: Examen rapide
Eléments examinés: 107530
Temps écoulé: 10 minute(s), 1 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3713
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
09/02/2010 19:24:19
mbam-log-2010-02-09 (19-24-19).txt
Type de recherche: Examen rapide
Eléments examinés: 107530
Temps écoulé: 10 minute(s), 1 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
bonjour
on va juste vérifier si le PC n'est plus infecté
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.
- http://images.malwareremoval.com/random/RSIT.exe
! Déconnecte toi et ferme toutes tes applications en cours !
* Double-clique sur RSIT.exe pour le lancer .
* Une première fenêtre s'ouvre avec en titre : Disclaimer of warranty .
* Devant l'option List files/folders created ... , tu choisis 2 months
* Clique ensuite sur Continue pour lancer l'analyse ...
* Laisse faire le scan et ne touche pas au PC ...
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
* Héberge le contenu de log.txt (c'est celui qui apparait à l'écran), ainsi que de info.txt ici.
Clique sur parcourir
Une fois que tu as trouvé les rapports à héberger, clique sur ouvrir
Clique sur Cliquez ici pour déposer le fichier, puis donne le lien
qui apparait comme ceci http:/www.cijoint.fr/cjlink.php?file=cj200911/cijgAdC3Ch.txt
Note : les rapports seront en outre sauvegardés dans ce dossier C:\rsit
on va juste vérifier si le PC n'est plus infecté
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.
- http://images.malwareremoval.com/random/RSIT.exe
! Déconnecte toi et ferme toutes tes applications en cours !
* Double-clique sur RSIT.exe pour le lancer .
* Une première fenêtre s'ouvre avec en titre : Disclaimer of warranty .
* Devant l'option List files/folders created ... , tu choisis 2 months
* Clique ensuite sur Continue pour lancer l'analyse ...
* Laisse faire le scan et ne touche pas au PC ...
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
* Héberge le contenu de log.txt (c'est celui qui apparait à l'écran), ainsi que de info.txt ici.
Clique sur parcourir
Une fois que tu as trouvé les rapports à héberger, clique sur ouvrir
Clique sur Cliquez ici pour déposer le fichier, puis donne le lien
qui apparait comme ceci http:/www.cijoint.fr/cjlink.php?file=cj200911/cijgAdC3Ch.txt
Note : les rapports seront en outre sauvegardés dans ce dossier C:\rsit
