Pb Rootkit

Résolu
Ber56 -  
 plopus -
Bonjour,
Je suis vraiment perdue...
Il semble que mon PC soit infecté par un rootkit (Win:32Rootkit-gen).
Avast! le détecte, mais j´ai bien essayer 6 ou 7 différents logiciels pour l´enlever (malwarebytes anti malware, safetycheck, AVG anti rootkit free...) mais ils ne trouvent rien. Je sais cependant qu il y a un problème car quand je me connecte, mon ordi envoie pleins de mails, je ne sais comment....
Voici un log de HijackThis, bien que je ne sache pas exactement à quoi cela sert...
Désolée si ce n`est pas la bon forum pour poster ceci...

Si quelqu'un pouvait m´aider j´en serai ravie, j´ai une réunion important cet après-midi et je crois que.... ca va être dur!!

Merci d´avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:57:03, on 18/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\Documents and Settings\Bérengère\Mes documents\Téléchargements\HiJackThis.exe
C:\Documents and Settings\Bérengère\Application Data\U3\0000183D877071DB\LaunchPad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [BEWINTERNET-FR-DMGP-V2SessionManager] "C:\Program Files\Orange\IEWInternet\SessionManager\SessionManager.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Program Files\Informax\Vector NTI Suite 9\Ncbi.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 9637 bytes
Configuration: Windows XP / Firefox 3.6

39 réponses

  • 1
  • 2
Résumé de la discussion

La discussion porte sur une suspicion d’infection par un rootkit Windows, signalée par Avast! (Win32Rootkit-gen), avec des tentatives de désinfection échouant malgré plusieurs outils. Le log HijackThis répertorie des processus, modules et services en démarrage, aidant à repérer des composants potentiellement malveillants et des paramètres modifiés, comme des pages d'accueil ou des extensions suspectes. Plusieurs conseils privilégient des outils avancés comme GMER, USBfix et ComboFix, en insistant sur une déconnexion d’Internet et la désactivation temporaire de l’antivirus pour éviter les interférences. D’autres précisent de copier les rapports générés (par exemple après un scan) et de ne pas intervenir pendant l’analyse, des précautions qui complètent les instructions tout en évitant les perturbations du système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    bonjour

    Telecharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    -Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    !\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)

    ::Si combofix detecte quelque chose et de demande a redémarrer tu accepte
    0
  2. Ber56 Messages postés 22 Statut Membre
     
    Merci beaucoup...
    Petit pb il demande installation de la console de recuperation microsft windows....
    Et je n´ai pas internet ici....
    Je dois dire non?
    0
  3. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    dit non en le passera qu'on première passe en se passera de script pour l'instant
    0
  4. Ber56 Messages postés 22 Statut Membre
     
    Enfin pas sur mon portable, ici!!!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Ber56 Messages postés 22 Statut Membre
     
    Merci encore, et c´est parti....
    0
  7. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    sur ton pc infecter
    0
  8. Ber56 Messages postés 22 Statut Membre
     
    Et voici le rapprt:

    ComboFix 10-02-12.01 - Bérengère 18/02/2010 11:39:02.1.2 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1022.590 [GMT 1:00]
    Lancé depuis: H:\ComboFix.exe
    AV: avast! antivirus 4.8.1368 [VPS 100217-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .
    [i] ADS - WINDOWS: deleted 24 bytes in 1 streams. /i

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\recycler\S-1-5-21-3964792565-2993029300-4224767395-1006
    c:\windows\system32\twain_32.dll
    D:\Autorun.inf

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-01-18 au 2010-02-18 ))))))))))))))))))))))))))))))))))))
    .

    2010-02-18 09:21 . 2010-02-18 10:43 -------- d-----w- c:\windows\LastGood
    2010-02-18 09:20 . 2010-02-18 09:20 -------- d-----w- C:\temp
    2010-02-17 20:45 . 2010-02-17 20:45 -------- d-----w- c:\windows\system32\drivers\Nouveau dossier
    2010-02-17 19:45 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
    2010-02-17 18:56 . 2010-02-17 18:56 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
    2010-02-17 10:30 . 2009-06-18 11:55 18816 ------w- c:\windows\system32\SAVRKBootTasks.sys
    2010-02-17 07:03 . 2010-02-17 07:03 -------- d-----w- c:\program files\Sophos
    2010-02-16 22:39 . 2004-08-03 22:00 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
    2010-02-16 22:32 . 2010-02-16 22:32 -------- d-sh--w- c:\windows\system32\config\systemprofile\Temporary Internet Files
    2010-02-16 22:32 . 2010-02-16 22:32 -------- d-sh--w- c:\windows\system32\config\systemprofile\Historique
    2010-02-16 18:19 . 2010-02-16 18:19 -------- d-----w- c:\program files\MagicISO
    2010-02-06 10:57 . 2010-02-06 10:57 -------- dc----w- c:\documents and settings\All Users\Application Data\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-02-18 10:44 . 2004-08-05 21:00 792064 ----a-w- c:\windows\system32\drivers\Flpydisk.sys
    2010-02-17 21:47 . 2009-06-29 06:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-02-17 21:46 . 2009-07-28 13:48 5115824 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
    2010-02-17 16:05 . 2007-12-20 23:37 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-02-16 22:32 . 2010-02-16 22:32 12 ----a-w- c:\windows\system32\config\systemprofile\Application Data\sgcpom.dat
    2010-02-06 07:34 . 2009-12-10 08:56 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-01-07 15:07 . 2009-06-29 06:06 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-01-07 15:07 . 2009-06-29 06:06 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-01-05 09:56 . 2004-08-05 21:00 832512 ----a-w- c:\windows\system32\wininet.dll
    2010-01-05 09:56 . 2004-08-05 21:00 78336 ----a-w- c:\windows\system32\ieencode.dll
    2010-01-05 09:56 . 2004-08-05 21:00 17408 ------w- c:\windows\system32\corpol.dll
    2010-01-02 14:11 . 2010-01-02 14:11 -------- d-----w- c:\program files\SlySoft
    2010-01-01 22:39 . 2008-07-09 06:36 -------- d-----w- c:\program files\DivX
    2010-01-01 22:39 . 2010-01-01 22:39 -------- d-----w- c:\program files\Fichiers communs\DivX Shared
    2009-12-31 16:14 . 2005-05-10 08:17 352640 ----a-w- c:\windows\system32\drivers\srv.sys
    2009-12-25 23:44 . 2009-11-25 10:02 -------- d-----w- c:\program files\Fichiers communs\France Telecom
    2009-12-25 22:54 . 2009-12-23 22:23 -------- d-----w- c:\program files\PartyGaming
    2009-12-17 07:59 . 2004-08-05 21:00 347648 ----a-w- c:\windows\system32\mspaint.exe
    2009-12-14 07:36 . 2004-08-05 21:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
    2009-12-09 10:19 . 2004-08-05 21:00 2144768 ----a-w- c:\windows\system32\ntoskrnl.exe
    2009-12-09 10:19 . 2004-08-05 21:00 2022912 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2009-12-09 08:51 . 2006-03-27 06:06 85808 ----a-w- c:\windows\system32\perfc00C.dat
    2009-12-09 08:51 . 2006-03-27 06:06 513884 ----a-w- c:\windows\system32\perfh00C.dat
    2009-12-04 14:41 . 2005-01-19 12:26 453760 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2009-12-02 12:44 . 2009-12-02 12:21 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys
    2009-11-27 17:34 . 2005-08-30 11:55 1297408 ----a-w- c:\windows\system32\quartz.dll
    2009-11-27 17:34 . 2004-08-05 21:00 17920 ----a-w- c:\windows\system32\msyuv.dll
    2009-11-27 16:38 . 2004-08-05 21:00 8704 ----a-w- c:\windows\system32\tsbyuv.dll
    2009-11-27 16:38 . 2004-08-05 21:00 85504 ----a-w- c:\windows\system32\avifil32.dll
    2009-11-27 16:38 . 2004-08-05 21:00 48128 ----a-w- c:\windows\system32\iyuv_32.dll
    2009-11-27 16:38 . 2004-08-05 21:00 28672 ----a-w- c:\windows\system32\msvidc32.dll
    2009-11-27 16:38 . 2004-08-05 21:00 11264 ----a-w- c:\windows\system32\msrle32.dll
    2009-11-24 23:54 . 2007-12-24 10:41 1280480 ----a-w- c:\windows\system32\aswBoot.exe
    2009-11-24 23:51 . 2007-12-24 10:41 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
    2009-11-24 23:50 . 2007-12-24 10:41 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
    2009-11-24 23:50 . 2008-04-03 06:34 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2009-11-24 23:50 . 2008-04-03 06:34 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2009-11-24 23:49 . 2007-12-24 10:41 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2009-11-24 23:48 . 2007-12-24 10:41 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2009-11-24 23:47 . 2007-12-24 10:41 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
    2009-11-24 23:47 . 2007-12-24 10:41 97480 ----a-w- c:\windows\system32\AvastSS.scr
    2009-11-21 16:42 . 2004-08-05 21:00 470528 ----a-w- c:\windows\AppPatch\aclayers.dll
    2006-12-31 02:14 . 2007-12-21 07:02 22 --sha-w- c:\windows\SMINST\HPCD.SYS
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-02-14 454656]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-15 7561216]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-04-15 86016]
    "High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-04-18 61952]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-04 761948]
    "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-07 131072]
    "Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2006-02-22 40960]
    "RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
    "LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
    "CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2009-01-29 57344]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
    @=""

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Ask Harrap's Shorter.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Ask Harrap's Shorter.lnk
    backup=c:\windows\pss\Ask Harrap's Shorter.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide de HP Photosmart Premier.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide de HP Photosmart Premier.lnk
    backup=c:\windows\pss\Démarrage rapide de HP Photosmart Premier.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
    2007-03-29 20:14 624248 ----a-w- c:\program files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch]
    2009-11-30 22:22 520024 ----a-w- c:\program files\Lavasoft\Ad-Aware\AAWTray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2008-10-15 00:04 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
    2007-01-15 14:14 147456 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
    2004-08-05 21:00 15360 ------w- c:\windows\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
    2008-12-29 10:40 687560 ----a-w- c:\program files\DAEMON Tools Lite\daemon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX7400 Series]
    2007-04-12 06:00 182272 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATICDE.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
    2007-10-25 15:37 2178832 ----a-w- c:\program files\Logitech\QuickCam\Quickcam.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
    2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    2006-01-12 13:40 155648 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QPService]
    2006-04-11 19:54 102400 ----a-w- c:\program files\Hp\QuickPlay\QPService.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2008-09-06 13:09 413696 ----a-w- c:\program files\QuickTime\QTTask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
    2009-10-09 12:11 25623336 ----a-r- c:\program files\Skype\Phone\Skype.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
    2009-03-05 14:07 2260480 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2008-02-22 03:25 144784 ----a-w- c:\program files\Java\jre1.6.0_05\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    2008-02-08 13:41 185896 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "WLSetupSvc"=3 (0x3)
    "usnjsvc"=3 (0x3)
    "PSI_SVC_2"=2 (0x2)
    "ose"=3 (0x3)
    "NMIndexingService"=3 (0x3)
    "NBService"=3 (0x3)
    "LVPrcSrv"=2 (0x2)
    "LVCOMSer"=2 (0x2)
    "LightScribeService"=2 (0x2)
    "iPod Service"=3 (0x3)
    "IDriverT"=3 (0x3)
    "FLEXnet Licensing Service"=3 (0x3)
    "Bonjour Service"=2 (0x2)
    "Apple Mobile Device"=2 (0x2)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Hp\\HP Software Update\\HPWUCli.exe"=
    "c:\\e-Seqv3\\Jre\\1.3\\bin\\java.exe"=
    "c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
    "c:\\Program Files\\Informax\\Vector NTI Suite 9\\Vector NTI 9.exe"=
    "c:\\Program Files\\uTorrent\\uTorrent.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=

    R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [22/06/2009 22:20 64160]
    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [03/04/2008 07:34 114768]
    R1 SAVRKBootTasks;Boot Tasks Driver;c:\windows\system32\SAVRKBootTasks.sys [17/02/2010 11:30 18816]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [03/04/2008 07:34 20560]
    S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
    S3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\drivers\ewusbfake.sys [25/11/2009 11:02 99840]
    S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [09/03/2009 20:06 1028432]
    S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\87.tmp --> c:\windows\system32\87.tmp [?]
    S4 BKAOLAIXBDX;BKAOLAIXBDX;c:\docume~1\ADMINI~1\LOCALS~1\Temp\BKAOLAIXBDX.exe [17/02/2010 20:02 299091]
    S4 WMFXE;WMFXE;c:\docume~1\BRENGR~2\LOCALS~1\Temp\WMFXE.exe --> c:\docume~1\BRENGR~2\LOCALS~1\Temp\WMFXE.exe [?]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - Flpydisk
    .
    Contenu du dossier 'Tâches planifiées'

    2010-01-25 c:\windows\Tasks\Ad-Aware Update (Weekly).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 22:22]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Settings,ProxyOverride = *.local
    IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    Handler: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} -
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-BEWINTERNET-FR-DMGP-V2SessionManager - c:\program files\Orange\IEWInternet\SessionManager\SessionManager.exe
    MSConfigStartUp-AppleSyncNotifier - c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    MSConfigStartUp-iTunesHelper - c:\program files\iTunes\iTunesHelper.exe
    MSConfigStartUp-NBKeyScan - c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
    MSConfigStartUp-updateMgr - c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
    AddRemove-Adobe_3e054d2218e7aa282c2369d939e58ff - c:\program files\Fichiers communs\Adobe\Installers\3e054d2218e7aa282c2369d939e58ff\Setup.exe

    **************************************************************************

    disk not found C:\

    please note that you need administrator rights to perform deep scan
    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe?????? ???@???????????????@? ????O??????(?@???????@

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés:

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
    "ImagePath"="\??\c:\windows\system32\87.tmp"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Flpydisk]

    .
    Heure de fin: 2010-02-18 11:46:55
    ComboFix-quarantined-files.txt 2010-02-18 10:46

    Avant-CF: 18 821 582 848 octets libres
    Après-CF: 18 894 581 760 octets libres

    - - End Of File - - B72655E0C3F218281D676B70FC3F9333
    0
  9. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    télécharge

    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher

    Une fois a jour, le programme va se lancer; clic sur l´onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

    A la fin du scan clique sur Afficher les résultats

    Vérifier si tout est coché et clic Supprimer la sélection

    S'il t'es demandé de redémarrer >>> clique sur "Yes"

    Et tu poste le rapport générer
    0
  10. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Tu as une infection autorun

    Brancher les lecteurs externes (Clé USB, Disque dur, ...) susceptibles
    d'avoir été infectés

    Télécharger USBFix

    - Lancer USBFix.exe
    - Choisir F pour Français => Touche Entrée
    - Taper 1 => Entrée pour recherche
    - Puis ok
    - Patienter pendant la détection- Un fichier texte s'ouvre, fichier => enregistrer sous
    - laisser le nom par défaut, enregistrer sur le bureau
    - copier coller le contenu du fichier texte dans la fenetre de réponse
    0
  11. Ber56 Messages postés 22 Statut Membre
     
    je l ai fait hier il a trouve une clef de registre infectée, qu´il a supprimé puis un fichier infecte qu il a aussi supprimé (avdrn.dat).
    Seulement avast a continué à continuer à trouver un rootkit....

    Je recommence quand meme, mais cela va prendre plus de temps...
    Merci encore
    0
  12. Ber56 Messages postés 22 Statut Membre
     
    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3753
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 7.0.5730.13

    18/02/2010 13:13:55
    mbam-log-2010-02-18 (13-13-55).txt

    Type de recherche: Examen complet (C:\|D:\|H:\|)
    Eléments examinés: 286329
    Temps écoulé: 45 minute(s), 36 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  13. Ber56 Messages postés 22 Statut Membre
     
    Maintenant je vais essayer Usbfix...
    Merci à tout!!
    0
  14. Ber56 Messages postés 22 Statut Membre
     
    ############################## | UsbFix V6.095 |

    User : Bérengère (Administrateurs) # PCBER
    Update on 15/02/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 13:48:16 | 18/02/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Genuine Intel(R) CPU T2050 @ 1.60GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
    Internet Explorer 7.0.5730.13
    Windows Firewall Status : Enabled
    AV : avast! antivirus 4.8.1368 [VPS 100218-0] 4.8.1368 [ Enabled | Updated ]

    C:\ -> Disque fixe local # 84,88 Go (17,65 Go free) # NTFS
    D:\ -> Disque fixe local # 7,25 Go (1,16 Go free) [HP_RECOVERY] # FAT32
    E:\ -> Disque CD-ROM
    F:\ -> Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS
    H:\ -> Disque amovible # 3,81 Go (1,76 Go free) # FAT32
    I:\ -> Disque fixe local # 232,83 Go (47,08 Go free) [SEA_DISC] # FAT32

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
    C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe
    C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## | Elements infectieux |

    F:\autorun.inf
    H:\SYSTEM

    ################## | Registre |

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{8260637a-f4bc-11dc-9278-0013025eb964}
    Shell\AutoRun\command =F:\LaunchU3.exe -a

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné !

    ################## | ! Fin du rapport # UsbFix V6.095 ! |
    0
  15. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Avant, relance USBfix avec l'option 2 ;)
    0
  16. Ber56 Messages postés 22 Statut Membre
     
    Voici le rapport Gmer: tout ce qui est entre"System - GMER 1.0.15" et "Kernel code sections - GMER 1.0.15" est en rouge ainsi que
    Service (*** hidden *** ) [SYSTEM] Flpydisk <-- ROOTKIT !!!

    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit scan 2010-02-18 14:11:14
    Windows 5.1.2600 Service Pack 2
    Running: csf9h3zf.exe; Driver: C:\DOCUME~1\BRENGR~2\LOCALS~1\Temp\kxtdapow.sys

    ---- System - GMER 1.0.15 ----

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xAC2AD6B8] <-- ROOTKIT !!!
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xAC2AD574] <-- ROOTKIT !!!
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xAC2ADA52] <-- ROOTKIT !!!
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xAC2AD14C] <-- ROOTKIT !!!
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xAC2AD64E] <-- ROOTKIT !!!
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xAC2AD08C] <-- ROOTKIT !!!
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xAC2AD0F0] <-- ROOTKIT !!!
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xAC2AD76E] <-- ROOTKIT !!!
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xAC2AD72E] <-- ROOTKIT !!!
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xAC2AD8AE] <-- ROOTKIT !!!

    ---- Kernel code sections - GMER 1.0.15 ----

    PAGE Ntfs.sys F71B5C55 4 Bytes CALL 863434D9
    .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9835360, 0x2212DD, 0xE8000020]
    init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xB9678EBF]
    ? C:\WINDOWS\System32\Drivers\Flpydisk.SYS Un périphérique attaché au système ne fonctionne pas correctement. !

    ---- User IAT/EAT - GMER 1.0.15 ----

    IAT C:\WINDOWS\system32\services.exe[916] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
    IAT C:\WINDOWS\system32\services.exe[916] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000

    ---- Devices - GMER 1.0.15 ----

    Device \FileSystem\Ntfs \Ntfs 8647E658

    AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
    AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
    AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
    AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
    AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
    AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
    AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
    AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
    AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

    ---- Services - GMER 1.0.15 ----

    Service (*** hidden *** ) [SYSTEM] Flpydisk <-- ROOTKIT !!!

    ---- Registry - GMER 1.0.15 ----

    Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\flpydisk@EventMessageFile %SystemRoot%\System32\IoLogMsg.dll;%SystemRoot%\System32\Drivers\flpydisk.sys
    Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\flpydisk@TypesSupported 7
    Reg HKLM\SYSTEM\CurrentControlSet\Services\Flpydisk@ErrorControl 0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\Flpydisk@Group Primary disk
    Reg HKLM\SYSTEM\CurrentControlSet\Services\Flpydisk@Start 1
    Reg HKLM\SYSTEM\CurrentControlSet\Services\Flpydisk@Tag 2
    Reg HKLM\SYSTEM\CurrentControlSet\Services\Flpydisk@Type 1
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x12 0x2E 0x12 0x24 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC6 0xAE 0x1A 0x55 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x5C 0xE7 0x1F 0x93 ...
    Reg HKLM\SYSTEM\ControlSet002\Services\Eventlog\System\flpydisk@EventMessageFile %SystemRoot%\System32\IoLogMsg.dll;%SystemRoot%\System32\Drivers\flpydisk.sys
    Reg HKLM\SYSTEM\ControlSet002\Services\Eventlog\System\flpydisk@TypesSupported 7
    Reg HKLM\SYSTEM\ControlSet002\Services\Flpydisk@ErrorControl 0
    Reg HKLM\SYSTEM\ControlSet002\Services\Flpydisk@Group Primary disk
    Reg HKLM\SYSTEM\ControlSet002\Services\Flpydisk@Start 1
    Reg HKLM\SYSTEM\ControlSet002\Services\Flpydisk@Tag 2
    Reg HKLM\SYSTEM\ControlSet002\Services\Flpydisk@Type 1
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x12 0x2E 0x12 0x24 ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC6 0xAE 0x1A 0x55 ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x5C 0xE7 0x1F 0x93 ...

    ---- EOF - GMER 1.0.15 ----
    0
  17. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Supprime les lignes en rouge avec Gmer. tu dois pouvoir avec un bouton "kill process"
    Avast devrait sauter.

    Soit tu le réinstalle, soit tu installe Antivir, qui est beaucoup mieux.
    Désolé , j'ai pas mon canned sous la main, et pas non plus Gmer pour te guider.

    Si tu n'es pas sur, attend un de mes collègues qui a la démarche complète et saura te guider.
    ;)
    0
  18. Ber56 Messages postés 22 Statut Membre
     
    Merci, mais malheureusement je ne peux rien faire il ne me propose rien...
    0
  19. Ber56 Messages postés 22 Statut Membre
     
    meme pas delete file...
    0
  20. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Attend de l'aide d'un collègue, ça ne devrait pas tarder ;)
    0
  • 1
  • 2