Sujet Précédent Sujet Suivant

Infection rootkit

Résolu/Fermé
Kaeldos Messages postés 79 Date d'inscription jeudi 25 février 2010 Statut Membre Dernière intervention 8 février 2011 - 25 févr. 2010 à 12:51
 WinError - 6 mars 2010 à 17:14
Bonjour à tous.

Un fichier du nom "zroksaq.sys" à été détecté sur mon PC, a priori un rootkit. Étant une bille en informatique je ne sais pas comment m'en débarrasser.

Merci d'avance pour votre aide.
A voir également:

80 réponses

Réponse 1 / 80
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
25 févr. 2010 à 12:56
salut

Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur "Continue" à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp
0
Réponse 2 / 80
Kaeldos Messages postés 79 Date d'inscription jeudi 25 février 2010 Statut Membre Dernière intervention 8 février 2011 1
25 févr. 2010 à 13:42
Avant tout merci à toi pour ta réponse rapide.
Voici le premier rapport:

Logfile of random's system information tool 1.06 (written by random/random)
Run by YannBastian at 2010-02-25 13:32:40
Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 1
System drive C: has 164 GB (49%) free of 331 GB
Total RAM: 3070 MB (29% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:33:05, on 25/02/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Steam\Steam.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mumble\mumble.exe
C:\Program Files\Mumble\dbus-daemon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\explorer.exe
C:\Users\YannBastian\Desktop\RSIT.exe
C:\Program Files\trend micro\YannBastian.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1978305
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [DPService] "C:\Program Files\HP\DVDPlay\DPService.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autorun=AUTORUN
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Multi File Downloader] C:\Program Files\Multi File Downloader\MultiFileDownloader.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O13 - Gopher Prefix:
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service Google Update (gupdate1ca89bfce2f08dc) (gupdate1ca89bfce2f08dc) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
0
Réponse 3 / 80
Kaeldos Messages postés 79 Date d'inscription jeudi 25 février 2010 Statut Membre Dernière intervention 8 février 2011 1
25 févr. 2010 à 13:43
et le deuxieme:

info.txt logfile of random's system information tool 1.06 2010-02-25 13:33:11

======Uninstall list======

-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
-->MsiExec /X{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.3 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81300000003}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\setup.exe /REMOVE
Blood Bowl 1.0.1.3-->"C:\Program Files\Cyanide\Blood Bowl\unins000.exe"
CABAL Online-->"C:\Program Files\Games-Masters.com\CABAL Online (Europe)\unins000.exe"
Chaos-League-->C:\Program Files\Chaos-League\Cyanide\Chaos-League\uninstall.exe
Cities XL - Limited Edition-->"C:\Program Files\Steam\steam.exe" steam://uninstall/35500
CyberLink DVD Suite Deluxe-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\Setup.exe" -uninstall
DAEMON Tools Toolbar-->C:\Program Files\DAEMON Tools Toolbar\uninst.exe
Defence Alliance 2-->"C:\Program Files\Steam\steam.exe" steam://uninstall/35420
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Plus Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DVD Play-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{45D707E9-F3C4-11D9-A373-0050BAE317E1}\Setup.exe" -uninstall
EA Download Manager-->C:\Program Files\Electronic Arts\EADM\Uninstall.exe
Fraps (remove only)-->"C:\Fraps\uninstall.exe"
GameCenter-->C:\GameCenter\uninstall.exe
Google Chrome-->"C:\Program Files\Google\Chrome\Application\4.0.249.89\Installer\setup.exe" --uninstall --system-level
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Hewlett-Packard Active Check for Health Check-->MsiExec.exe /X{254C37AA-6B72-4300-84F6-98A82419187E}
Hewlett-Packard Asset Agent for Health Check-->MsiExec.exe /X{669D4A35-146B-4314-89F1-1AC3D7B88367}
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hitman Pro 3.5-->"C:\Program Files\Hitman Pro 3.5\HitmanPro35.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
HP Active Support Library-->C:\Program Files\InstallShield Installation Information\{5DAA9C36-8F8B-462F-8CCA-E205BC3751F5}\setup.exe -runfromtemp -l0x0409
HP Customer Experience Enhancements-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C27C82E4-9C53-4D76-9ED3-A01A3D5EE679}\setup.exe" -l0x9 -removeonly
HP Customer Feedback-->MsiExec.exe /I{9DBA770F-BF73-4D39-B1DF-6035D95268FC}
HP Demo-->MsiExec.exe /X{48BF4489-0C58-4E80-BB17-94A673CE310A}
HP Easy Setup - Frontend-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F405DC00-37F3-4A5F-97F4-C1310CCEE53A}\setup.exe" -l0x9 -removeonly
HP Photosmart Essential 3.0-->C:\Program Files\HP\Digital Imaging\PhotoSmartEssential\hpzscr01.exe -datfile hpqbud13.dat
HP Recovery Manager RSS-->MsiExec.exe /X{A0640EC2-B97E-4FC1-AD14-227C9E386BB4}
HP Update-->MsiExec.exe /X{C8FD5BC1-92EF-4C15-92A9-F9AC7F61985F}
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
Killing Floor SDK-->"C:\Program Files\Steam\steam.exe" steam://uninstall/1260
Killing Floor-->"C:\Program Files\Steam\steam.exe" steam://uninstall/1250
LabelPrint-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\Setup.exe" -uninstall
Left 4 Dead 2-->"C:\Program Files\Steam\steam.exe" steam://uninstall/550
Left 4 Dead-->"C:\Program Files\Steam\steam.exe" steam://uninstall/500
LightScribe System Software 1.14.17.1-->MsiExec.exe /X{0E7DBD52-B097-4F2B-A7C7-F105B0D20FDB}
Medieval Lords - Démo-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{59F6861F-9EEF-4873-8778-43BC7D6F90BA}\Setup.exe" -l0x40c Uninstall
Medieval Lords-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FDE0D0EB-486C-48B9-A6B5-4BEAA078AF73}\setup.exe" -l0x40c Uninstall
MegaTrainer XL V1.3.3.6-->"C:\Program Files\CRS-MegaDev\MegaTrainer XL\unins000.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30411-->MsiExec.exe /X{5DA8F6CD-C70E-39D8-8430-3D9808D6BD17}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft Works-->MsiExec.exe /I{3B160861-7250-451E-B5EE-8B92BF30A710}
Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.0.18)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Mumble and Murmur-->C:\Program Files\Mumble\Uninstall.exe
muvee autoProducer 6.1-->C:\Program Files\InstallShield Installation Information\{B9AB88D8-3A09-4A4A-8993-0E2F6F9F294B}\muveesetup.exe -removeonly -runfromtemp
NVIDIA Drivers-->C:\Windows\system32\nvuninst.exe UninstallGUI
NVIDIA PhysX-->MsiExec.exe /X{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}
NVIDIA Stereoscopic 3D Driver-->"C:\Program Files\NVIDIA Corporation\3D Vision\nvStInst.exe" /uninstall /ask
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Outils de diagnostic du matériel-->C:\Program Files\PC-Doctor for Windows\uninst.exe
Overlord II-->"C:\Program Files\Steam\steam.exe" steam://uninstall/12810
Power2Go-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\Setup.exe" -uninstall
PowerDirector-->"C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" /z-uninstall
PowerDirector-->"C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" /z-uninstall
Python 2.5.2-->MsiExec.exe /I{6B976ADF-8AE8-434E-B282-A06C7F624D2F}
RCT3 Soaked-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EA926717-CE5A-4CB4-AB21-9E6E9565A458}\Setup.exe" -l0x40c
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -removeonly
RollerCoaster Tycoon 3-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{907B4640-266B-4A21-92FB-CD1A86CD0F63}\Setup.exe" -l0x40c
SFR - Kit de connexion-->C:\Program Files\SFR\Kit\uninstall.exe
Silkroad-->C:\Program Files\Silkroad\Remove.Exe
SimCity 4 Deluxe-->C:\Program Files\Maxis\SimCity 4 Deluxe\EAUninstall.exe
SPORE™ : Pack d’éléments étranges et mignons-->"C:\Program Files\InstallShield Installation Information\{C07F8D75-7A8D-400E-A8F9-A3F396B49BB1}\SPORE_BP1Setup.exe" -runfromtemp -l0x040c -removeonly
SPORE™-->"C:\Program Files\InstallShield Installation Information\{9DF0196F-B6B8-4C3A-8790-DE42AA530101}\setup.exe" -runfromtemp -l0x040c -removeonly
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Stronghold 2-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{16D2C649-CBA8-44EE-B730-12584667D487}\setup.exe" -l0x40c -removeonly
TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
Torchlight-->C:\Program Files\Runic Games\Torchlight\uninstall.exe
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
Version de démonstration de Microsoft Office Home and Student 2007-->c:\hp\bin\MSOffice\uninst2.cmd
VLC media player 1.0.3-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
WinFile-->"C:\Program Files\Multi File Downloader\unins000.exe"
World of Warcraft-->C:\Program Files\Common Files\Blizzard Entertainment\World of Warcraft\Uninstall.exe
Wow Cartographe 1.09-->C:\Program Files\WowCartographe\uninst.exe

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: PC-YannBastian
Event Code: 36874
Message: Une demande de connexion SSL a été reçue à partir d'une application cliente distante mais aucune des suites de chiffrement prises en charge par l'application cliente ne sont prises en charges par le serveur. La demande de connexion SSL a échoué.
Record Number: 93744
Source Name: Schannel
Time Written: 20100225012136.000000-000
Event Type: Erreur
User:

Computer Name: PC-YannBastian
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 93769
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20100225083735.403340-000
Event Type: Erreur
User:

Computer Name: PC-YannBastian
Event Code: 7026
Message: Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger :
i8042prt
Record Number: 93836
Source Name: Service Control Manager
Time Written: 20100225083913.000000-000
Event Type: Erreur
User:

Computer Name: PC-YannBastian
Event Code: 36874
Message: Une demande de connexion SSL a été reçue à partir d'une application cliente distante mais aucune des suites de chiffrement prises en charge par l'application cliente ne sont prises en charges par le serveur. La demande de connexion SSL a échoué.
Record Number: 93853
Source Name: Schannel
Time Written: 20100225084759.000000-000
Event Type: Erreur
User:

Computer Name: PC-YannBastian
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
Pour plus d’informations, consultez les données suivantes :
Non applicable
ID d’analyse : {953F453D-674F-4DE1-BC5A-84460AE50CCE}
Utilisateur : PC-YannBastian\YannBastian
Nom : Unknown
ID :
ID de gravité :
ID de catégorie :
Chemin d’accès trouvé : driver:hitmanpro35;file:C:\Windows\system32\drivers\hitmanpro35.sys
Type d’alerte : Logiciel non classifié
Type de détection :
Record Number: 93884
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20100225110525.000000-000
Event Type: Avertissement
User:

=====Application event log=====

Computer Name: PC-YannBastian
Event Code: 4113
Message: AntiVir a détecté dans le fichier C:\installer_antivir_familial_16122009.exe un code suspect avec la désignation 'TR/Shutdown.AJ'!
Record Number: 34580
Source Name: Avira AntiVir
Time Written: 20100225010328.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-YannBastian
Event Code: 1002
Message: Le programme HitmanPro35.exe version 3.5.4.90 a cessé d’interagir avec Windows et a été fermé. Pour déterminer si des informations supplémentaires sont disponibles, consultez l’historique du problème dans l’application Rapports et solutions aux problèmes du Panneau de configuration. ID de processus : 7f8 Heure de début : 01cab5b5da1e9299 Heure de fin : 2
Record Number: 34582
Source Name: Application Hang
Time Written: 20100225010412.000000-000
Event Type: Erreur
User:

Computer Name: PC-YannBastian
Event Code: 8194
Message: Erreur du service de cliché instantané des volumes : erreur lors de l’interrogation de l’interface IVssWriterCallback. hr = 0x80070005. Cette erreur est souvent due à des paramètres de sécurité incorrects dans le processus du rédacteur ou du demandeur.

Opération :
Données du rédacteur en cours de collecte

Contexte :
ID de classe du rédacteur: {e8132975-6f93-4464-a53e-1050253ae220}
Nom du rédacteur: System Writer
ID d’instance du rédacteur: {bd185a80-67b3-4f83-be1c-c9f9b5ae1888}
Record Number: 34583
Source Name: VSS
Time Written: 20100225010517.000000-000
Event Type: Erreur
User:

Computer Name: PC-YannBastian
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 34619
Source Name: Microsoft-Windows-WMI
Time Written: 20100225083913.000000-000
Event Type: Erreur
User:

Computer Name: PC-YannBastian
Event Code: 1000
Message: Application défaillante HitmanPro35.exe, version 3.5.4.90, horodatage 0x4b7a7654, module défaillant mumble_ol.dll, version 0.0.0.0, horodatage 0x4b4663ee, code d’exception 0xc0000005, décalage d’erreur 0x00013a32, ID du processus 0x60c, heure de début de l’application 0x01cab60a573d5d40.
Record Number: 34634
Source Name: Application Error
Time Written: 20100225110452.000000-000
Event Type: Erreur
User:

=====Security event log=====

Computer Name: PC-YannBastian
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-YANNBASTIAN$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x2a0
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 21097
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090921144903.428959-000
Event Type: Succès de l'audit
User:

Computer Name: PC-YannBastian
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 21098
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090921144903.428959-000
Event Type: Succès de l'audit
User:

Computer Name: PC-YannBastian
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-YANNBASTIAN$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost

Informations sur le processus :
ID du processus : 0x2a0
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Adresse du réseau : -
Port : -

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 21099
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090921144903.460160-000
Event Type: Succès de l'audit
User:

Computer Name: PC-YannBastian
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-YANNBASTIAN$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x2a0
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 21100
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090921144903.460160-000
Event Type: Succès de l'audit
User:

Computer Name: PC-YannBastian
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 21101
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090921144903.460160-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\hp\bin\Python
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 107 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=6b02
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE
"OnlineServices"=Online Services
"Platform"=HPD
"PCBRAND"=Presario
"MSWorksProductCode"={3B160861-7250-451E-B5EE-8B92BF30A710}

-----------------EOF-----------------
0
Réponse 4 / 80
Kaeldos Messages postés 79 Date d'inscription jeudi 25 février 2010 Statut Membre Dernière intervention 8 février 2011 1
25 févr. 2010 à 13:44
erf modif du message j'avais posté deux fois le deuxieme rapport.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 80
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
25 févr. 2010 à 14:20
donc une toolbars indesirable et des restes de Eorezo, il ne faut surtout pas aller sur le site Eorezo c'est un spyware

* Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/
* Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
* Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
* Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"
* Au menu principal choisi l'option "L" et tape sur [entrée] .
* Laisse travailler l'outil et ne touche à rien ...
* Poste le rapport qui apparait à la fin.


( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

puis

* Télécharge Malwarebytes
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
* Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
* Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
* Lance une analyse complète en cliquant sur "Exécuter un examen complet"
* Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
* L'analyse peut durer un bon moment.....
* Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
* Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
* Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée



puis configure antivir comme ceci : https://www.commentcamarche.net/faq/16831-tutoriel-configuration-optimale-d-antivir-personal
puis fait une mise a jour avec et lance un scan, supprime tous ce qu'il trouve et poste le rapport


tu as donc 3 rapports a poster
0
Réponse 6 / 80
clemtheboss413 Messages postés 541 Date d'inscription mardi 23 février 2010 Statut Membre Dernière intervention 14 mai 2013 7
25 févr. 2010 à 14:24
salut

plopus bravo!!!

tu est le seul a savoir utiliser le RSIT sur CCM
0
Réponse 7 / 80
Kaeldos Messages postés 79 Date d'inscription jeudi 25 février 2010 Statut Membre Dernière intervention 8 février 2011 1
25 févr. 2010 à 14:34
Je ferais les divers taches un peu plus tard dans la journée, j'ai deux trois urgences là. Merci pour ton aide rapide. JE post les rapports dès que j'ai fait tout cela.
0
Réponse 8 / 80
Kaeldos Messages postés 79 Date d'inscription jeudi 25 février 2010 Statut Membre Dernière intervention 8 février 2011 1
25 févr. 2010 à 17:27
le rapport de ad-remover:

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 15:42:50, 25/02/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows Vista™ HomeBasic Service Pack 2 v6.0.6001
Nom du PC: PC-YANNBASTIAN | Utilisateur actuel: YannBastian
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\Program Files\Save

(!) -- Fichiers temporaires supprimés.

.
HKCU\software\EoRezo
HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
HKLM\software\EoRezo
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\EoEngine
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.0.18 [fr] *
.
Nom du profil: g2ay6tdk.default (YannBastian)
.
(YANNBA~1, prefs.js) Browser.download.dir, C:\Users\YannBastian\Downloads
(YANNBA~1, prefs.js) Browser.download.lastDir, C:\Users\YannBastian\Desktop
(YANNBA~1, prefs.js) Browser.search.defaulturl, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1978305&SearchSource=3&q={searchTerms}
(YANNBA~1, prefs.js) Browser.startup.homepage, hxxp://www.daemon-search.com/startpage|hxxp://y.lo.st
(YANNBA~1, prefs.js) Extensions.enabledItems, {3112ca9c-de6d-4884-a869-9855de68056c}:6.1.20091119W,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.18
(YANNBA~1, prefs.js) Keyword.URL, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1978305&q=
.
(YANNBA~1, prefs.js) EFFACE - Browser.search.defaultthis.engineName, Mininova-Vuze Customized Web Search
(YANNBA~1, prefs.js) EFFACE - Browser.startup.homepage, hxxp://www.daemon-search.com/startpage|hxxp://y.lo.st
.
.
* Internet Explorer Version 7.0.6001.18000 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Do404Search: 01000000
Local Page: C:\Windows\system32\blank.htm
Show_ToolBar: yes
Enable Browser Extensions: yes
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.2.9056-to-3.0.3.9183-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.3.9183-to-3.0.8.9464-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.8.9464-to-3.0.8.9506-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.8.9506-to-3.0.9.9551-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.1.0.9767-to-3.1.1.9806-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.1.1.9806-to-3.1.1.9835-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.1.1.9835-to-3.1.2.9901-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.1.2.9901-to-3.1.3.9947-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.2.0.10314-to-3.2.2.10482-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.2.2.10482-to-3.2.2.10505-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\Patches\WoW-3.0.9-to-3.1.0-frFR-Win-patch\Blizzard Updater.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\Patches\WoW-3.1.3-to-3.2.0-frFR-Win-patch\Blizzard Updater.exe
C:\Users\YannBastian\Downloads\medieval_lords_patch_v1.01b_multi-langues_20285.exe
.
===================================
.
4506 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
5 Fichier(s) - C:\Users\YANNBA~1\AppData\Local\Temp
2 Fichier(s) - C:\Windows\Temp
12 Fichier(s) - C:\Windows\Prefetch
.
19 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 15:49:31 | 25/02/2010 - CLEAN[1]
.
============== E.O.F ==============
.
0
Réponse 9 / 80
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
25 févr. 2010 à 18:10
a quoi corresponde ces patch pour WOW

C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.2.9056-to-3.0.3.9183-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.3.9183-to-3.0.8.9464-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.8.9464-to-3.0.8.9506-frFR-patch.exe


si c'est pas des patch OFFICIELS supprime les tous !!

en attente des autres rapports
0
Réponse 10 / 80
Kaeldos Messages postés 79 Date d'inscription jeudi 25 février 2010 Statut Membre Dernière intervention 8 février 2011 1
25 févr. 2010 à 19:21
Très bien je regarde ça de suite pour les patch de wow.
Sinon rapport suivant, malwarebytes :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3792
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

25/02/2010 19:20:13
mbam-log-2010-02-25 (19-20-13).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 370056
Temps écoulé: 1 hour(s), 48 minute(s), 59 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\drivers\zroksaq.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
0
Réponse 11 / 80
Kaeldos Messages postés 79 Date d'inscription jeudi 25 février 2010 Statut Membre Dernière intervention 8 février 2011 1
25 févr. 2010 à 19:29
Les patch de wow sont a priori des "faux positifs". Dans les doute je les ai tous viré. Je m'attele à antivir.
0
Réponse 12 / 80
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
25 févr. 2010 à 19:47
concernant les patch si c'est du telecharger sur P2P, c'est a virer bref si tu as supprimer ce que ce n'etait pas vraiment utile.

passe au scan antivir configurer comme dit dans le lien
0
Réponse 13 / 80
Kaeldos Messages postés 79 Date d'inscription jeudi 25 février 2010 Statut Membre Dernière intervention 8 février 2011 1
25 févr. 2010 à 20:43
Ce sont les executable des maj de wow, pas utile de les garder une fois les maj installées.

Le scan antivir est en route. Sauf qu'il est plus long que je pensais, et je dois aller au taf. Je ne pourrais pas poster le rapport avant demain matin vers 10h30. J'vais relancer le scan et deconnecter le pc d'internet, ça tournera cette nuit.
0
Réponse 14 / 80
Kaeldos Messages postés 79 Date d'inscription jeudi 25 février 2010 Statut Membre Dernière intervention 8 février 2011 1
26 févr. 2010 à 11:17
Désolé je suis rentré plus tard que prévu.
rapport antivir:



Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 25 février 2010 20:57

La recherche porte sur 1792206 souches de virus.

Détenteur de la licence :Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows :(Service Pack 1) [6.0.6001]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :PC-YANNBASTIAN

Informations de version :
BUILD.DAT : 8.2.0.62 17752 Bytes 23/10/2009 13:16:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:14:11
ANTIVIR1.VDF : 7.10.3.84 5532016 Bytes 26/01/2010 16:03:29
ANTIVIR2.VDF : 7.10.4.132 1265568 Bytes 23/02/2010 16:18:00
ANTIVIR3.VDF : 7.10.4.147 110080 Bytes 25/02/2010 18:32:48
Version du moteur: 8.2.1.172
AEVDF.DLL : 8.1.1.3 106868 Bytes 24/01/2010 15:56:01
AESCRIPT.DLL : 8.1.3.16 827771 Bytes 20/02/2010 16:18:19
AESCN.DLL : 8.1.4.0 127348 Bytes 28/01/2010 16:03:54
AESBX.DLL : 8.1.1.1 246132 Bytes 23/11/2009 18:16:13
AERDL.DLL : 8.1.4.2 479602 Bytes 13/02/2010 16:17:43
AEPACK.DLL : 8.2.0.8 426357 Bytes 13/02/2010 16:17:42
AEOFFICE.DLL : 8.1.0.39 196987 Bytes 20/02/2010 16:18:16
AEHEUR.DLL : 8.1.1.7 2326902 Bytes 20/02/2010 16:18:14
AEHELP.DLL : 8.1.10.0 237942 Bytes 14/01/2010 16:00:56
AEGEN.DLL : 8.1.1.87 369013 Bytes 20/02/2010 16:18:01
AEEMU.DLL : 8.1.1.0 393587 Bytes 05/10/2009 17:02:06
AECORE.DLL : 8.1.11.1 184694 Bytes 03/02/2010 16:17:30
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.7 159784 Bytes 16/02/2010 16:17:48
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Tous les fichiers
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: arrêt
Archive Smart Extensions.........: arrêt
Types d'archives divergents......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Catégories de dangers divergentes: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : jeudi 25 février 2010 20:57

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zroksaq\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zroksaq\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zroksaq\errorcontrol
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zroksaq\group
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zroksaq\vx6msj3
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zroksaq\mnaf1y
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zroksaq\ip3b8l7el5
[INFO] L'entrée d'enregistrement n'est pas visible.
'94768' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'conime.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MpCmdRun.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPHC_Service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Steam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpsysdrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WUDFHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvSCPAPISvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'48' processus ont été contrôlés avec '48' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
[INFO] Veuillez relancer la recherche avec les droits d'administrateur
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
[INFO] Veuillez relancer la recherche avec les droits d'administrateur
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
[INFO] Veuillez relancer la recherche avec les droits d'administrateur
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
[INFO] Veuillez relancer la recherche avec les droits d'administrateur

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '37' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <COMPAQ>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Windows\System32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Windows\System32\drivers\zroksaq.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <FACTORY_IMAGE>


Fin de la recherche : jeudi 25 février 2010 22:01
Temps nécessaire: 2:04:48 Heure(s)

La recherche a été effectuée intégralement

25763 Les répertoires ont été contrôlés
697867 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
4 Impossible de contrôler des fichiers
697863 Fichiers non infectés
4373 Les archives ont été contrôlées
8 Avertissements
0 Consignes
94768 Des objets ont été contrôlés lors du Rootkitscan
7 Des objets cachés ont été trouvés
0
Réponse 15 / 80
clemtheboss413 Messages postés 541 Date d'inscription mardi 23 février 2010 Statut Membre Dernière intervention 14 mai 2013 7
26 févr. 2010 à 11:22
salut il est possible que tu soit infecté la dedans
Recherche débutant dans 'C:\' <COMPAQ>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Windows\System32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Windows\System32\drivers\zroksaq.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier

comme avira n'a pas pu l'ouvrir donc il sont peut-étre infecté
0
Réponse 16 / 80
Kaeldos Messages postés 79 Date d'inscription jeudi 25 février 2010 Statut Membre Dernière intervention 8 février 2011 1
26 févr. 2010 à 13:33
okay mais comment les supprimer?

autre chose depuis hier j'ai firefox qui freeze pas mal. Y compris pendant que je suis en train d'écrire. Je suis obligé de reduire/agrandir comme un malade la fenêtre sinon soit ça mets dix plombes à repartir soit firefox ferme. Et ça à commencer après avoir fait le premier scan avec RSIT.
0
Réponse 17 / 80
clemtheboss413 Messages postés 541 Date d'inscription mardi 23 février 2010 Statut Membre Dernière intervention 14 mai 2013 7
26 févr. 2010 à 14:44
oh hé
attention c'est des fichier système il te faut une confirmation qu'ils soit infecté
0
Réponse 18 / 80
Kaeldos Messages postés 79 Date d'inscription jeudi 25 février 2010 Statut Membre Dernière intervention 8 février 2011 1
26 févr. 2010 à 15:38
Je les ai pas encore effacé. J'attends une réponse de plopus. Comme je l'ai dis je suis une bille avec mon pc ( allumes toi, eteinds toi, fonctionnes, voilà mes connaissances) je fais rien sans confirmation.
0
Réponse 19 / 80
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
26 févr. 2010 à 17:01
salut

ne suit que les instructions que je te donne stp Kaeldos


il te reste donc bien ton rootkit qui devrait degager avec sa

telecharge combofix SUR TON BUREAU
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
lance le, il te demandera d'installer la console de recuperation, ACCEPTE, suit les instruction durant le scan ne touche + a ton PC et a la fin poste le rapport

tu peux le retrouver dans C:/combofix.txt
0
Réponse 20 / 80
Kaeldos Messages postés 79 Date d'inscription jeudi 25 février 2010 Statut Membre Dernière intervention 8 février 2011 1
26 févr. 2010 à 19:36
voici le rapport combofix:

ComboFix 10-02-26.01 - YannBastian 26/02/2010 19:15:15.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6001.1.1252.33.1036.18.3070.2336 [GMT 1:00]
Lancé depuis: c:\users\YannBastian\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2373954164-2419952531-494492721-500
c:\$recycle.bin\S-1-5-21-3430781819-4112138520-4176161753-500
c:\$recycle.bin\S-1-5-21-379578684-575248035-2863804450-1000
c:\program files\autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-26 au 2010-02-26 ))))))))))))))))))))))))))))))))))))
.

2010-02-26 18:27 . 2010-02-26 18:28 -------- d-----w- c:\users\YannBastian\AppData\Local\temp
2010-02-26 18:27 . 2010-02-26 18:27 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\users\YannBastian\AppData\Roaming\Malwarebytes
2010-02-25 16:14 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\programdata\Malwarebytes
2010-02-25 16:14 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-25 16:14 . 2010-02-25 16:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-25 14:40 . 2010-02-25 14:49 -------- d-----w- C:\Ad-Remover
2010-02-25 12:32 . 2010-02-25 12:33 -------- d-----w- c:\program files\trend micro
2010-02-25 12:32 . 2010-02-25 12:33 -------- d-----w- C:\rsit
2010-02-17 00:12 . 2010-02-17 00:17 194089856 ----a-w- C:\DungeonDefense_Install_2.2_JeuxVideo.com_14521.exe
2010-02-16 12:24 . 2010-02-16 12:24 467 ----a-w- C:\msmq.reg
2010-02-16 10:14 . 2010-02-17 17:49 23033 ----a-w- C:\Legend of the Seeker_2x11_HDTV.LOL.fr.zip
2010-02-06 16:38 . 2010-02-06 16:53 -------- d-----w- C:\cxl
2010-02-06 16:05 . 2010-02-08 17:47 -------- d-----w- C:\trainer torchlight
2010-02-02 20:16 . 2010-02-02 20:16 1882267 ----a-w- C:\AtlasLoot-v5.09.05.zip

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-26 18:23 . 2009-10-22 17:38 35465 ----a-w- c:\programdata\nvModes.dat
2010-02-26 17:53 . 2008-08-26 10:57 -------- d-----w- c:\programdata\NVIDIA
2010-02-26 17:51 . 2009-07-24 16:30 -------- d-----w- c:\users\YannBastian\AppData\Roaming\Mumble
2010-02-26 14:35 . 2009-08-29 12:13 -------- d-----w- c:\program files\Steam
2010-02-26 14:34 . 2009-11-24 20:08 -------- d-----w- c:\programdata\boost_interprocess
2010-02-26 01:01 . 2010-01-23 15:33 15944 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys
2010-02-25 17:21 . 2010-01-12 10:02 -------- d-----w- c:\users\YannBastian\AppData\Roaming\vlc
2010-02-24 14:07 . 2010-02-24 14:06 16 ----a-w- c:\users\YannBastian\AppData\Roaming\rbuwzv.dat
2010-02-24 10:15 . 2009-06-27 18:00 -------- d-----w- c:\programdata\Electronic Arts
2010-02-24 08:16 . 2009-10-02 16:53 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-12 00:05 . 2009-07-04 07:32 284 ----a-w- c:\users\YannBastian\AppData\Roaming\wklnhst.dat
2010-02-11 02:17 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-02-08 17:52 . 2009-07-24 16:30 -------- d-----w- c:\program files\Mumble
2010-02-03 04:48 . 2009-01-28 11:30 -------- d-----w- c:\program files\World of Warcraft
2010-01-24 18:15 . 2010-01-24 18:03 -------- d-----w- c:\users\YannBastian\AppData\Roaming\dvdcss
2010-01-23 15:40 . 2010-01-23 15:33 -------- d-----w- c:\programdata\Hitman Pro
2010-01-23 15:33 . 2010-01-23 15:33 -------- d-----w- c:\program files\Hitman Pro 3.5
2010-01-23 15:33 . 2010-01-23 15:32 4955456 ----a-w- C:\HitmanPro35.exe
2010-01-21 07:48 . 2010-01-21 07:48 3268476 ----a-w- c:\programdata\AuctioneerSuite-5.7.4568.zip
2010-01-17 21:35 . 2010-01-17 21:35 1090977 ----a-w- c:\programdata\DBM-4.38-r3147-Core-and-WotLK-Mods.zip
2010-01-12 10:00 . 2010-01-12 10:00 -------- d-----w- c:\program files\VideoLAN
2010-01-12 09:59 . 2010-01-12 09:59 18030130 ----a-w- C:\vlc-1.0.3-win32.exe
2010-01-08 02:15 . 2008-08-26 10:59 -------- d-----w- c:\programdata\CyberLink
2009-12-31 02:21 . 2009-12-31 02:20 -------- d-----w- c:\program files\Google
2009-12-31 02:20 . 2009-02-14 18:12 -------- d-----w- c:\program files\DivX
2009-12-31 02:20 . 2009-12-31 02:20 -------- d-----w- c:\program files\Common Files\DivX Shared
2009-12-28 12:35 . 2010-02-10 02:10 11776 ----a-w- c:\windows\system32\tsbyuv.dll
2009-12-28 12:35 . 2010-02-10 02:10 1314816 ----a-w- c:\windows\system32\quartz.dll
2009-12-28 12:32 . 2010-02-10 02:10 22528 ----a-w- c:\windows\system32\msyuv.dll
2009-12-28 12:32 . 2010-02-10 02:10 31744 ----a-w- c:\windows\system32\msvidc32.dll
2009-12-28 12:32 . 2010-02-10 02:10 123904 ----a-w- c:\windows\system32\msvfw32.dll
2009-12-28 12:32 . 2010-02-10 02:10 13312 ----a-w- c:\windows\system32\msrle32.dll
2009-12-28 12:31 . 2010-02-10 02:10 82944 ----a-w- c:\windows\system32\mciavi32.dll
2009-12-28 12:31 . 2010-02-10 02:10 50176 ----a-w- c:\windows\system32\iyuv_32.dll
2009-12-28 12:28 . 2010-02-10 02:10 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-12-28 12:28 . 2010-02-10 02:10 65024 ----a-w- c:\windows\system32\avicap32.dll
2009-12-20 12:36 . 2009-12-20 12:36 12862712 ----a-w- C:\mumble-2009-12-16-1633-718da1.exe
2009-12-18 13:05 . 2010-01-22 03:36 833024 ----a-w- c:\windows\system32\wininet.dll
2009-12-18 13:01 . 2010-01-22 03:36 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-12-18 10:14 . 2010-01-22 03:36 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2009-12-11 12:07 . 2010-02-10 02:10 301568 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-11 12:07 . 2010-02-10 02:10 98304 ----a-w- c:\windows\system32\drivers\srvnet.sys
2009-12-10 17:12 . 2009-12-10 17:12 246754 ----a-w- C:\Bartender4-4.4.2.zip
2009-12-09 19:37 . 2009-12-09 19:36 683716 ----a-w- C:\XPerl-3.0.7__3.3_Release_.zip
2009-12-09 19:36 . 2009-12-09 19:36 1058232 ----a-w- C:\DBM-4.32-r2645-Core-and-WotLK-Mods.zip
2009-12-08 20:52 . 2010-02-10 02:10 897624 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-12-08 20:52 . 2010-02-10 02:10 3597912 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-08 20:52 . 2010-02-10 02:10 3546200 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-08 14:04 . 2009-12-08 14:04 12836528 ----a-w- C:\Mumble-1.2.0~beta2.exe
2009-12-04 16:12 . 2010-02-10 02:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2009-12-04 16:12 . 2010-02-10 02:10 105472 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-12-04 12:37 . 2008-08-26 20:24 669328 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-04 12:37 . 2008-08-26 20:24 123350 ----a-w- c:\windows\system32\perfc00C.dat
2004-07-23 14:50 . 2009-05-17 13:30 4363 ------w- c:\program files\ReadMe.txt
2004-07-23 07:53 . 2009-05-17 13:30 258048 ------w- c:\program files\Autorun.exe
2004-05-17 12:56 . 2009-05-17 13:30 3262 ------w- c:\program files\MedievalLords.ico
2003-12-19 10:45 . 2009-05-17 13:30 766 ------w- c:\program files\Autorun.ico
2003-12-19 10:45 . 2009-05-17 13:30 245408 ------w- c:\program files\unicows.dll
2008-08-26 20:38 . 2008-08-26 20:38 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"EA Core"="c:\program files\Electronic Arts\EADM\Core.exe" [2009-04-29 3338240]
"Steam"="c:\program files\steam\steam.exe" [2010-02-20 1217872]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Multi File Downloader"="c:\program files\Multi File Downloader\MultiFileDownloader.exe" [2009-11-24 2744320]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-02 75008]
"DPService"="c:\program files\HP\DVDPlay\DPService.exe" [2008-06-11 90112]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-04-07 132760]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21/01/2008 03:33 21504]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [27/09/2009 15:48 240232]
S0 sptd;sptd;c:\windows\System32\drivers\sptd.sys [17/05/2009 18:44 721904]
S2 gupdate1ca89bfce2f08dc;Service Google Update (gupdate1ca89bfce2f08dc);c:\program files\Google\Update\GoogleUpdate.exe [31/12/2009 03:20 133104]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - zroksaq

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'

2010-02-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-31 02:20]

2010-02-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-31 02:20]
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\users\YannBastian\AppData\Roaming\Mozilla\Firefox\Profiles\g2ay6tdk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1978305&SearchSource=3&q={searchTerms}
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1978305&q=
FF - component: c:\users\YannBastian\AppData\Roaming\Mozilla\Firefox\Profiles\g2ay6tdk.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Update\1.2.183.17\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-HPAdvisor - c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-26 19:27
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\zroksaq]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3430781819-4112138520-4176161753-1000\Software\SecuROM\License information*]
"datasecu"=hex:78,d7,71,06,eb,9d,f2,3f,5e,7c,94,76,94,37,9b,ac,02,00,40,61,30,
07,ea,ad,b6,b0,22,f4,10,06,3b,81,ab,c4,8c,bf,a9,e9,dd,5d,31,4a,5c,9c,d9,a6,\
"rkeysecu"=hex:3e,80,9e,c4,40,b4,90,83,87,8e,33,49,64,ac,f8,d9
.
Heure de fin: 2010-02-26 19:31:11
ComboFix-quarantined-files.txt 2010-02-26 18:31

Avant-CF: 169 337 008 128 octets libres
Après-CF: 169 280 077 824 octets libres

- - End Of File - - E406DBBE5A445DD32FC267A2D224A754
0

Discussions similaires

Infection d'une URL.blacklist
marina41 -
Malekal_morte- -

6 réponses
Rootkit détecté par AVG mais ne fait rien?
Hakayami -
hellodu95 -

11 réponses
hacker defender 100 rootkit
andros -
andros -

22 réponses
Avast détecte un rootkit
Marie12345 -
Marie12345 -

2 réponses
win32 Rootkit
Mary -
plopus -

8 réponses